CVE-2024-4295

Nome do software vulnerável e versões afetadas:

Plugin “Email Subscribers by Icegram Express” para WordPress, versões até a 5.7.20, inclusive

Descrição:

O problema está relacionado à escapada insuficiente no parâmetro hash fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente, possibilitando que invasores não autenticados acrescentem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações confidenciais do banco de dados. Com mais de 90.000 instalações ativas, o impacto potencial desse bug é significativo.

Recomendações:

Para versões até a 5.7.20, inclusive, atualize para uma versão que inclua uma correção para este problema. Como solução temporária, considere restringir o acesso ao parâmetro hash para minimizar o risco de exploração. Evite usar o parâmetro hash em consultas SQL existentes até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.