CVE-2024-1071

Versões 2.1.3 a 2.8.2 do Ultimate Member

O problema está relacionado a uma vulnerabilidade de injeção de SQL no plugin Ultimate Member para WordPress. Essa vulnerabilidade pode ser explorada por invasores não autenticados para anexar consultas SQL adicionais às já existentes, permitindo-lhes, potencialmente, extrair informações confidenciais do banco de dados. A vulnerabilidade é causada por escapamento insuficiente em parâmetros fornecidos pelo usuário e pela falta de preparação adequada nas consultas SQL existentes. Estima-se que mais de 200.000 sites estejam potencialmente afetados por este problema. Houve relatos de tentativas de explorar esta vulnerabilidade, destacando a necessidade de ação imediata para proteger os sites afetados.

Para resolver o problema, atualize o plugin Ultimate Member para a versão 2.8.3 ou posterior. Esta atualização corrige a vulnerabilidade de injeção de SQL e ajuda a prevenir violações de dados. Além disso, considere implementar a autenticação de dois fatores e usar senhas fortes para aumentar ainda mais a segurança. A atualização regular de plugins e temas também é crucial para manter a segurança dos sites WordPress.