CVE-2024-8275

Nome do software vulnerável e versões afetadas:

O plugin Events Calendar para versões do WordPress até a 6.6.4, inclusive

Descrição:

O problema está relacionado a uma vulnerabilidade de injeção de SQL na função tribe has next event do plugin. Essa vulnerabilidade permite que um invasor não autenticado extraia informações confidenciais do banco de dados do site, anexando consultas SQL adicionais às já existentes. A vulnerabilidade se deve à escapada insuficiente no parâmetro order fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Estima-se que mais de 700.000 sites estejam potencialmente afetados.

Recomendações:

Para versões até e incluindo a 6.6.4, atualize para a versão 6.6.4.1 ou superior para resolver o problema.

Como solução temporária, considere desativar a função tribe has next event() até que um patch esteja disponível.

Restrinja o acesso ao parâmetro order vulnerável na função tribe has next event para minimizar o risco de exploração.