CVE-2025-2106

Nome do Software Vulnerável e Versões Afetadas: Plugin ArielBrailovsky-ViralAd para WordPress versões até e incluindo a 1.0.8

Descrição: A vulnerabilidade permite que atacantes não autenticados executem Injeção de SQL através dos parâmetros text e id da função limpia(), devido ao escape insuficiente nos parâmetros fornecidos pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita aos atacantes anexar consultas SQL adicionais às consultas existentes, extraindo potencialmente informações sensíveis do banco de dados. A explorabilidade deste problema parece estar limitada a versões muito antigas do WordPress.

Recomendações: Para versões até e incluindo a 1.0.8, considere atualizar para uma versão que inclua uma correção para este problema, já que nenhuma solução alternativa específica é fornecida para essas versões. Como solução alternativa temporária, considere desativar a função limpia() até que uma correção esteja disponível. Restrinja o acesso aos parâmetros text e id na função afetada para minimizar o risco de exploração.