CVE-2025-2478

Nome do Software Vulnerável e Versões Afetadas Plugin Code Clone para WordPress versões até, e incluindo, 0.9

Descrição O problema está relacionado a uma Injeção de SQL baseada em tempo via o parâmetro snippetId, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes autenticados, com acesso de nível de Administrador ou superior, anexem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações sensíveis do banco de dados.

Recomendações Para versões até, e incluindo, 0.9, considere desativar o parâmetro snippetId até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso ao plugin Code Clone para minimizar o risco de exploração, especialmente para usuários com acesso de nível de Administrador ou superior. Evite usar o parâmetro snippetId no plugin afetado até que o problema seja resolvido.