PT-2024-18315 · WordPress · Wp Ulike
Bassem Essam
·
Publicado
2024-05-02
·
Atualizado
2024-05-02
·
CVE-2024-1797
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
WP ULike – Versões do plugin “Most Advanced WordPress Marketing Toolkit” até a 4.6.9, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível de colaborador ou superior realizem injeção de SQL por meio dos atributos
status e id dos códigos de atalho wp ulike counter e wp ulike. Isso se deve à escapada insuficiente em parâmetros fornecidos pelo usuário e à falta de preparação adequada nas consultas SQL existentes, possibilitando a extração de informações confidenciais do banco de dados.Recomendações
Para versões até a 4.6.9, inclusive, atualize para uma versão superior à 4.6.9 para resolver o problema.
Como solução temporária, considere restringir o acesso aos códigos de atalho
wp ulike counter e wp ulike para minimizar o risco de exploração.Evite usar os atributos
status e id nos códigos de atalho afetados até que o problema seja resolvido.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Ulike