CVE-2025-4204

Nome do Software Vulnerável e Versões Afetadas Plugin Ultimate Auction Pro para WordPress, versões até e incluindo a 1.5.2

Descrição O problema está relacionado a uma Injeção de SQL via o parâmetro auction id, devido ao escapamento insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser utilizado para extrair informações sensíveis do banco de dados.

Recomendações Para o plugin Ultimate Auction Pro para WordPress, versões até e incluindo a 1.5.2, considere atualizar para uma versão superior à 1.5.2 para resolver a questão. Como medida paliativa temporária, considere restringir o acesso ao parâmetro auction id no endpoint da API afetado até que um patch esteja disponível.