CVE-2025-3436

Nome do Software Vulnerável e Versões Afetadas: coreActivity: Plugin de Registro de Atividades para WordPress versões anteriores à 2.8

Descrição: O problema surge devido ao escape insuficiente dos parâmetros fornecidos pelo usuário order e orderby, e à falta de preparação adequada das consultas SQL existentes. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior anexem consultas SQL adicionais às existentes, potencialmente extraindo informações sensíveis do banco de dados.

Recomendações: Para versões anteriores à 2.8, atualize para uma versão que inclua uma correção para este problema, pois a versão atual é vulnerável a ataques de injeção de SQL através dos parâmetros order e orderby. Como medida temporária, considere restringir o acesso aos parâmetros order e orderby no plugin afetado até que uma correção esteja disponível.