CVE-2025-1323

Nome do Software Vulnerável e Versões Afetadas WP-Recall – Plugin Registration, Profile, Commerce & More para WordPress versões até, inclusive, 16.26.10

Descrição O problema está relacionado à Injeção de SQL via o parâmetro databeat devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados.

Recomendações Para o plugin WP-Recall – Registration, Profile, Commerce & More para WordPress versões até, inclusive, 16.26.10: Como solução temporária, considere restringir o acesso ao parâmetro databeat para minimizar o risco de exploração. Evite usar o parâmetro databeat nas consultas afetadas até que o problema seja resolvido. Atualize para uma versão posterior à 16.26.10 assim que disponível.