CVE-2025-5487

Nome do Software Vulnerável e Versões Afetadas AutomatorWP – Plugin de automação para automações sem código, webhooks e integrações personalizadas no WordPress, versões até, e incluindo, a 5.2.5

Descrição O plugin AutomatorWP é vulnerável a Injeção de SQL baseada em tempo via parâmetro field conditions devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita que atacantes autenticados, com acesso de nível de Administrador ou superior, anexem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações sensíveis do banco de dados. Administradores podem configurar o plugin para permitir acesso a esta funcionalidade para Autores e níveis superiores.

Recomendações Para versões até, e incluindo, a 5.2.5, atualize para uma versão que corrija a vulnerabilidade de Injeção de SQL. Como solução temporária, considere restringir o acesso ao parâmetro field conditions para minimizar o risco de exploração. Restrinja o acesso à funcionalidade do plugin apenas aos usuários necessários, como administradores, para reduzir a superfície de ataque.