CVE-2024-12607

Nome do Software Vulnerável e Versões Afetadas Versões do plugin School Management System for Wordpress até e incluindo a 92.0.0

Descrição A vulnerabilidade permite que atacantes autenticados com acesso de nível Custom ou superior realizem Injeção de SQL através do parâmetro id da ação AJAX "mj smgt show event task". Isso ocorre devido ao escape insuficiente no parâmetro id fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente, tornando possível extrair informações sensíveis do banco de dados.

Recomendações Para as versões do plugin School Management System for Wordpress até e incluindo a 92.0.0, considere restringir o acesso à ação AJAX "mj smgt show event task" até que um patch esteja disponível. Como solução temporária, evite usar o parâmetro id na ação AJAX afetada para minimizar o risco de exploração.