CVE-2025-2890

Nome do Software Vulnerável e Versões Afetadas Plugin tagDiv Opt-In Builder para WordPress, versões até a 1.7 inclusive

Descrição O problema está relacionado a uma Injeção de SQL baseada em tempo através do parâmetro subscriptionCouponId, devido ao escape inadequado no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita que atacantes autenticados, com acesso de nível de Assinante (Subscriber) ou superior, anexem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações sensíveis do banco de dados.

Recomendações Para versões até a 1.7 inclusive, considere desativar o parâmetro subscriptionCouponId até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso às consultas SQL para minimizar o risco de extração de informações sensíveis. Evite usar o parâmetro subscriptionCouponId em consultas existentes até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.