CVE-2024-7112

The Pinpoint Booking System – o plugin de reservas nº 1 para WordPress, versões até e incluindo a 2.9.9.5.0

O problema está relacionado à injeção de SQL por meio do parâmetro schedule, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores autenticados, com acesso de nível de Assinante ou superior, acrescentem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações confidenciais do banco de dados.

Para versões até e incluindo a 2.9.9.5.0, considere desativar o parâmetro schedule até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao banco de dados para minimizar o risco de extração de informações confidenciais. Atualize para uma versão que inclua uma correção para este problema assim que estiver disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.