CVE-2024-12332

Nome do Software Vulnerável e Versões Afetadas Sistema de Gestão Escolar – WPSchoolPress versões até 2.2.14

Descrição O problema está relacionado à Injeção de SQL via o parâmetro cid, devido ao escaping insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes autenticados, com acesso de nível Aluno/Responsável ou superior, anexem consultas SQL adicionais às consultas já existentes, as quais podem ser usadas para extrair informações sensíveis do banco de dados.

Recomendações Para versões até 2.2.14, atualize para uma versão superior a 2.2.14 para resolver o problema. Como medida temporária, considere restringir o acesso ao parâmetro cid para minimizar o risco de exploração.