CVE-2024-13341

Nome do Software Vulnerável e Versões Afetadas O plugin MultiLoca - WooCommerce Multi Locations Inventory Management para WordPress, versões até e incluindo a 4.1.11

Descrição A vulnerabilidade permite que atacantes autenticados, com acesso de nível de Assinante ou superior, realizem Injeção de SQL através do parâmetro data-id, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita aos atacantes anexar consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações sensíveis do banco de dados.

Recomendações Para as versões até e incluindo a 4.1.11, atualize para uma versão superior à 4.1.11 para resolver a falha. Como medida de contorno temporária, considere restringir o acesso ao parâmetro data-id para minimizar o risco de exploração.