CVE-2024-6027

Nome do software vulnerável e versões afetadas:

Themify – plugin WooCommerce Product Filter para versões do WordPress até a 1.4.9, inclusive

Descrição:

A vulnerabilidade está relacionada a injeção de SQL baseada em tempo através do parâmetro conditions, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores não autenticados acrescentem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações confidenciais do banco de dados. Mais de 30.000 sites WooCommerce estão potencialmente expostos a esse risco.

Recomendações:

Para versões até e incluindo a 1.4.9, considere desativar o parâmetro conditions até que um patch esteja disponível para impedir a exploração. Como solução temporária, restrinja o acesso a informações confidenciais do banco de dados para minimizar o risco de violações de dados. Atualize para uma versão posterior à 1.4.9 quando disponível.