CVE-2024-5207

POST SMTP – O plugin SMTP nº 1 para WordPress com registro avançado de e-mails e notificações de falhas de entrega, versões até a 2.9.3, inclusive

A vulnerabilidade permite injeção de SQL baseada em tempo através do parâmetro selected, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita que invasores autenticados com acesso de administrador ou superior acrescentem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações confidenciais do banco de dados.

Para versões até a 2.9.3, inclusive, atualize para uma versão superior à 2.9.3 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao parâmetro selected para minimizar o risco de exploração.