CVE-2024-12615

Nome do Software Vulnerável e Versões Afetadas Plugin Passwords Manager para WordPress, versões até e incluindo a 1.4.8

Descrição O problema está relacionado a uma injeção de SQL através do valor $wpdb->prefix em várias ações AJAX, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação suficiente na consulta SQL existente. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior anexem consultas SQL adicionais às existentes, extraindo potencialmente informações sensíveis do banco de dados.

Recomendações Para versões até e incluindo a 1.4.8, atualize para uma versão superior à 1.4.8 para resolver o problema. Como solução temporária, considere restringir o acesso às ações AJAX vulneráveis até que um patch esteja disponível. Evite usar o valor $wpdb->prefix em parâmetros fornecidos pelo usuário para minimizar o risco de exploração.