CVE-2025-4964

Nome do Software Vulnerável e Versões Afetadas Plugin WP Online Users Stats para WordPress, versões até e incluindo a 1.0.0

Descrição A vulnerabilidade permite que atacantes autenticados com acesso de nível Editor ou superior injetem consultas SQL adicionais nas existentes, potencialmente extraindo informações sensíveis do banco de dados. Isso se deve ao escape insuficiente do parâmetro table name fornecido pelo usuário e à falta de preparação adequada da consulta SQL existente.

Recomendações Para o plugin WP Online Users Stats para WordPress, versões até e incluindo a 1.0.0, considere desativar o parâmetro table name até que uma correção esteja disponível para prevenir potenciais ataques de injeção SQL. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de exploração.