CVE-2025-1669

Nome do Software Vulnerável e Versões Afetadas: O Sistema de Gestão Escolar – Plugin WPSchoolPress para WordPress, versões até e incluindo a 2.2.16

Descrição: O problema está relacionado à Injeção de SQL via ação 'addNotify', devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores autenticados com acesso de nível de professor ou superior anexem consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações sensíveis do banco de dados.

Recomendações: Para versões até e incluindo a 2.2.16, atualize para uma versão que inclua uma correção para este problema, a fim de prevenir ataques de Injeção de SQL. Como solução temporária, considere restringir o acesso à ação 'addNotify' para usuários com acesso de nível de professor ou superior até que um patch esteja disponível.