CVE-2024-3561

Plugin Custom Field Suite para versões do WordPress até a 2.6.7, inclusive

A vulnerabilidade permite que invasores autenticados com acesso de nível de colaborador ou superior realizem injeção de SQL por meio do campo personalizado Term. Isso ocorre devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente, possibilitando a inserção de consultas SQL adicionais em consultas já existentes para extrair informações confidenciais do banco de dados.

Para versões até a 2.6.7, inclusive, atualize para uma versão superior à 2.6.7 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao campo personalizado Term para minimizar o risco de exploração.