PT-2024-37655 · WordPress · Sip Reviews Shortcode
Dmitry Derr
+2
·
Publicado
2024-10-31
·
Atualizado
2025-07-11
·
CVE-2024-6479
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin “SIP Reviews Shortcode for WooCommerce” para o WordPress, versões até a 1.2.3, inclusive
Descrição
O problema está relacionado à injeção de SQL por meio do atributo
no of reviews no shortcode “woocommerce reviews”. Isso ocorre devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente, possibilitando que invasores não autenticados acrescentem consultas SQL adicionais às consultas já existentes. Isso pode ser usado para extrair informações confidenciais do banco de dados.Recomendações
Para versões até e incluindo a 1.2.3, atualize para uma versão que corrija o problema de injeção de SQL.
Como solução temporária, considere restringir o acesso ao shortcode
woocommerce reviews para minimizar o risco de exploração.Evite usar o atributo
no of reviews no shortcode afetado até que o problema seja resolvido.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sip Reviews Shortcode