CVE-2025-10042

Nome do Software Vulnerável e Versões Afetadas Plugin Quiz Maker para WordPress versões até e incluindo a 6.7.0.56

Descrição O plugin Quiz Maker para WordPress está suscetível a Injeção de SQL via cabeçalhos IP manipulados. Isso ocorre devido ao escape inadequado de parâmetros fornecidos pelo usuário e à preparação insuficiente das consultas SQL existentes. Atacantes não autenticados podem injetar consultas SQL adicionais nas consultas existentes, potencialmente extraindo informações sensíveis do banco de dados. Isso é explorável em configurações onde o servidor recupera o endereço IP de um campo fornecido pelo usuário, como o cabeçalho X-Forwarded-For, e as restrições de usuário baseadas em IP estão habilitadas. O parâmetro vulnerável é o valor fornecido no cabeçalho X-Forwarded-For.

Recomendações Versões anteriores à 6.7.0.57 devem ser atualizadas. Desabilite as restrições de usuário baseadas em IP se o servidor estiver configurado para recuperar o endereço IP de um campo fornecido pelo usuário como o X-Forwarded-For.