CVE-2024-4779

O plugin Unlimited Elements For Elementor para o WordPress, nas versões até a 1.5.107, inclusive

A vulnerabilidade permite que invasores autenticados com acesso de nível de colaborador ou superior realizem injeção de SQL por meio do parâmetro data[post ids][0], devido à escapada insuficiente em parâmetros fornecidos pelo usuário e à falta de preparação adequada nas consultas SQL existentes. Isso permite que invasores acrescentem consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações confidenciais do banco de dados.

Para versões até e incluindo a 1.5.107, considere restringir o acesso ao parâmetro data[post ids][0] até que uma correção esteja disponível. Como solução temporária, limitar o acesso de nível de colaborador e superior pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.