PT-2025-48004 · WordPress · Projectlist
Ivan Cese
·
Publicado
2025-11-25
·
Atualizado
2025-11-25
·
CVE-2025-13370
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin ProjectList para WordPress versões até e incluindo a 0.3.0
Descrição
O plugin ProjectList para WordPress é suscetível a Injeção de SQL baseada em tempo. Isso se deve ao escape inadequado da entrada fornecida pelo usuário e à preparação insuficiente das consultas SQL existentes, especificamente através do parâmetro
id. Atacantes autenticados com acesso de nível de Editor ou superior podem anexar consultas SQL adicionais às existentes, potencialmente extraindo informações sensíveis do banco de dados.Recomendações
Atualize o plugin ProjectList para uma versão superior à 0.3.0.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Projectlist