CVE-2024-13321

Nome do Software Vulnerável e Versões Afetadas: Plugin AnalyticsWP para WordPress, versões até e incluindo a 2.0.0

Descrição: O problema está relacionado a uma Injeção de SQL via o parâmetro custom sql devido a verificações de autorização insuficientes na função handle get stats(). Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas existentes, potencialmente extraindo informações sensíveis do banco de dados.

Recomendações: Para o plugin AnalyticsWP para WordPress, versões até e incluindo a 2.0.0: Como solução temporária, considere desativar a função handle get stats() até que um patch esteja disponível. Restrinja o acesso ao parâmetro custom sql para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.