PT-2025-15380 · WordPress · 3Dprint Lite
Jon Cagan
+1
·
Publicado
2025-04-08
·
Atualizado
2025-07-10
·
CVE-2025-3427
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Plugin 3DPrint Lite para WordPress, versões até e incluindo a 2.1.3.6
Descrição:
O problema surge devido ao escaping insuficiente no parâmetro
infill text fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente, possibilitando que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes. Isso pode ser utilizado para extrair informações sensíveis do banco de dados.Recomendações:
Para versões até e incluindo a 2.1.3.6, considere desativar o parâmetro
infill text até que uma correção esteja disponível para prevenir potenciais ataques de injeção de SQL.
Como solução temporária, restrinja o acesso à consulta SQL que utiliza o parâmetro infill text para minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
3Dprint Lite