CVE-2024-13344

Nome do Software Vulnerável e Versões Afetadas Plugin Advance Seat Reservation Management for WooCommerce para WordPress, versões até e incluindo a 3.3

Descrição A vulnerabilidade permite Injeção de SQL via o parâmetro profileId devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, as quais podem ser utilizadas para extrair informações sensíveis do banco de dados.

Recomendações Para versões até e incluindo a 3.3, considere desativar o parâmetro profileId até que uma correção esteja disponível para prevenir ataques de Injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.