PT-2024-18469 · WordPress · Wpvivid
Denis Werner
·
Publicado
2024-02-29
·
Atualizado
2025-01-16
·
CVE-2024-1981
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Migration, Backup, Staging – plugin WPvivid para WordPress, versão 0.9.68
Descrição
O problema decorre da falta de escapamento adequado no parâmetro
table prefix fornecido pelo usuário e da falta de preparação adequada na consulta SQL existente, possibilitando que invasores não autenticados acrescentem consultas SQL adicionais às consultas já existentes. Isso pode ser usado para extrair informações confidenciais do banco de dados.Recomendações
Para a versão 0.9.68, considere desativar o parâmetro
table prefix até que um patch esteja disponível para prevenir ataques de injeção de SQL. Restrinja o acesso a informações confidenciais do banco de dados para minimizar o risco de exploração. Evite usar o parâmetro table prefix em consultas SQL existentes até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wpvivid