CVE-2025-1670

Nome do Software Vulnerável e Versões Afetadas: Sistema de Gestão Escolar – Plugin WPSchoolPress para WordPress, versões até e incluindo a 2.2.16

Descrição: O problema permite que atacantes autenticados com acesso de nível Custom ou superior realizem Injeção de SQL (SQL Injection) através do parâmetro cid, devido ao escaping insuficiente nos parâmetros fornecidos pelo usuário e à falta de preparação adequada nas consultas SQL existentes. Isso possibilita aos atacantes anexar consultas SQL adicionais às existentes, potencialmente extraindo informações sensíveis do banco de dados.

Recomendações: Para versões até e incluindo a 2.2.16, considere restringir o acesso ao parâmetro cid no endpoint de API afetado até que uma correção (patch) esteja disponível. Como medida temporária (workaround), limite o acesso de nível Custom e superior para minimizar o risco de exploração.