CVE-2024-13496

Nome do Software Vulnerável e Versões Afetadas GamiPress – Plugin de gamificação para recompensar pontos, conquistas, emblemas e níveis no WordPress nas versões até e incluindo a 7.2.1

Descrição O problema está relacionado a uma Injeção de SQL baseada em tempo via o parâmetro orderby, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações sensíveis do banco de dados.

Recomendações Para versões até e incluindo a 7.2.1, considere desabilitar o parâmetro orderby até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso a informações sensíveis do banco de dados para minimizar o risco de extração de dados. Evite utilizar o parâmetro orderby em consultas existentes até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.