CVE-2024-13909

Nome do Software Vulnerável e Versões Afetadas: Plugin Accredible Certificates & Open Badges para WordPress versões até e incluindo a 1.4.9

Descrição: O problema está relacionado a uma Injeção de SQL baseada em tempo via o parâmetro orderby, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação suficiente na consulta SQL existente. Isso permite que atacantes autenticados com acesso de nível de Administrador ou superior anexem consultas SQL adicionais às consultas já existentes, o que pode ser utilizado para extrair informações sensíveis do banco de dados.

Recomendações: Para versões até e incluindo a 1.4.9, atualize para uma versão que inclua uma correção para este problema. Como solução temporária, considere restringir o acesso ao parâmetro orderby para minimizar o risco de exploração.