CVE-2024-9874

O plugin The Poll Maker – Versus Polls, Anonymous Polls, Image Polls para versões do WordPress até a 5.4.6, inclusive

A vulnerabilidade está relacionada a injeção de SQL baseada em tempo por meio do parâmetro orderby, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores autenticados, com acesso de nível de administrador ou superior, anexem consultas SQL adicionais a consultas já existentes, que podem ser usadas para extrair informações confidenciais do banco de dados.

Para versões até a 5.4.6, inclusive, considere desativar o parâmetro orderby até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de extração de informações confidenciais. Atualize para uma versão que inclua uma correção para este problema quando disponível.