CVE-2024-8669

Nome do software vulnerável e versões afetadas:

Backuply – plugin de backup, restauração, migração e clonagem para versões do WordPress até a 1.3.4, inclusive

Descrição:

A vulnerabilidade está relacionada a injeção de SQL por meio do parâmetro options passado para a função backuply wp clone sql(), devido à falta de escapamento adequado no parâmetro fornecido pelo usuário e à preparação insuficiente da consulta SQL existente. Isso permite que invasores autenticados com acesso de nível de administrador ou superior acrescentem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações confidenciais do banco de dados.

Recomendações:

Para versões até a 1.3.4, inclusive, considere desativar a função backuply wp clone sql() até que um patch esteja disponível. Restrinja o acesso ao parâmetro options na função afetada para minimizar o risco de exploração. Evite usar o parâmetro options no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.