CVE-2025-0853

Nome do Software Vulnerável e Versões Afetadas Plugin PGS Core para WordPress nas versões até 5.8.0 (inclusive)

Descrição A vulnerabilidade está relacionada a uma Injeção de SQL via parâmetro event na função save header builder, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados.

Recomendações Para as versões até 5.8.0 (inclusive), considere desabilitar a função save header builder até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso ao parâmetro event na função afetada para minimizar o risco de ataques de Injeção de SQL.