CVE-2024-4847

O plugin Alt Text AI – Geração automática de texto alternativo para imagens para SEO e acessibilidade para o WordPress, versões até e incluindo a 1.4.9

O problema está relacionado a uma injeção SQL genérica por meio do parâmetro last post id, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores autenticados, com acesso de nível de Assinante ou superior, acrescentem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações confidenciais do banco de dados.

Para versões até a 1.4.9, inclusive, considere desativar o parâmetro last post id até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao banco de dados para minimizar o risco de extração de informações confidenciais. Evite usar o parâmetro last post id em consultas existentes até que o problema seja resolvido.