CVE-2024-12030

Nome do Software Vulnerável e Versões Afetadas MDTF – Plugin Meta Data and Taxonomies Filter para WordPress versões até a 1.3.3.5, inclusive

Descrição O problema surge devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente, permitindo que atacantes autenticados com acesso de nível de Contribuidor ou superior anexem consultas SQL adicionais às consultas já existentes. Isso pode ser utilizado para extrair informações sensíveis do banco de dados por meio do atributo key do shortcode mdf value.

Recomendações Para versões até a 1.3.3.5, inclusive, considere desativar o shortcode mdf value até que um patch esteja disponível para prevenir a exploração da vulnerabilidade de Injeção de SQL. Restrinja o acesso ao shortcode mdf value para minimizar o risco de exploração. Evite usar o atributo key no shortcode mdf value até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.