CVE-2024-12404

Nome do Software Vulnerável e Versões Afetadas Plugin CF Internal Link Shortcode para WordPress, versões até a 1.1.0 inclusive

Descrição O problema está relacionado à Injeção de SQL via parâmetro post title devido ao escaping insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações sensíveis do banco de dados.

Recomendações Para o plugin CF Internal Link Shortcode para WordPress, versões até a 1.1.0 inclusive, considere desativar o parâmetro post title até que uma correção esteja disponível para prevenir ataques de Injeção de SQL. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.