CVE-2025-0959

Nome do Software Vulnerável e Versões Afetadas The Eventer - WordPress Event & Booking Manager Plugin versões até, e incluindo, a 3.9.9.2

Descrição O problema permite que invasores autenticados com acesso de nível de Assinante ou superior extraiam informações sensíveis do banco de dados devido ao escape insuficiente no parâmetro reg id fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores anexem consultas SQL adicionais às consultas já existentes.

Recomendações Para versões até, e incluindo, a 3.9.9.2, considere restringir o acesso ao parâmetro reg id para minimizar o risco de exploração até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro reg id nas consultas afetadas até que o problema seja resolvido.