CVE-2024-13426

Nome do Software Vulnerável e Versões Afetadas Plugin WP-Polls para WordPress, versões até a 2.77.2 inclusive

Descrição O problema surge devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente, possibilitando que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes. Embora os resultados dessas consultas não sejam exibidos ao atacante e, portanto, não possam ser explorados para obter informações adicionais sobre o banco de dados, um payload configurado adequadamente permite a injeção de JavaScript malicioso, resultando em Cross-Site Scripting Armazenado.

Recomendações Para o plugin WP-Polls para WordPress, versões até a 2.77.2 inclusive, atualize para uma versão posterior à 2.77.2 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade do plugin para minimizar o risco de exploração até que uma correção seja aplicada.