CVE-2024-13440

Nome do Software Vulnerável e Versões Afetadas Plugin Super Store Finder para WordPress, versões até a 7.0 inclusive

Descrição O problema permite que atacantes não autenticados executem Injeção de SQL através do parâmetro ssf wp user name, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes anexem consultas SQL adicionais a uma consulta já existente, potencialmente resultando em cross-site scripting armazenado nas avaliações da loja.

Recomendações Para o plugin Super Store Finder para WordPress, versões até a 7.0 inclusive, considere desabilitar o parâmetro ssf wp user name até que um patch esteja disponível para prevenir ataques de Injeção de SQL. Restrinja o acesso às avaliações da loja para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.