PT-2024-38314 · WordPress · Wordpress Simple Html Sitemap
Anhchangmutrang
+1
·
Publicado
2024-09-24
·
Atualizado
2024-10-02
·
CVE-2024-7385
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do plugin WordPress Simple HTML Sitemap até a 3.1
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível de administrador ou superior acrescentem consultas SQL adicionais às consultas existentes, podendo extrair informações confidenciais do banco de dados. Isso ocorre devido à falta de escapamento adequado no parâmetro
id fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente.Recomendações
Para versões até a 3.1, como solução temporária, considere restringir o acesso ao parâmetro
id no endpoint da API afetado até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wordpress Simple Html Sitemap