PT-2024-19869 · Themefusion · Avada
Muhammad Zeeshan
+1
·
Publicado
2024-04-09
·
Atualizado
2024-04-10
·
CVE-2024-2344
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Tema Avada para WordPress, versões até a 7.11.6, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível de editor ou superior realizem injeção de SQL por meio do parâmetro
entry, devido à falta de escapamento adequado no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores acrescentem consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações confidenciais do banco de dados.Recomendações
Para o tema Avada para WordPress nas versões até a 7.11.6, inclusive, atualize para uma versão posterior à 7.11.6 para resolver o problema.
No momento, não há informações sobre outras medidas de mitigação específicas para esta vulnerabilidade.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avada