CVE-2024-13435

Nome do Software Vulnerável e Versões Afetadas Plugin Ebook Downloader para WordPress versões anteriores à 1.1

Descrição O problema está relacionado a uma Injeção de SQL via parâmetro download devido ao escapamento insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser utilizado para extrair informações sensíveis do banco de dados.

Recomendações Para versões anteriores à 1.1, considere desabilitar o parâmetro download até que um patch esteja disponível para prevenir potenciais ataques de Injeção de SQL. Restrinja o acesso a informações sensíveis do banco de dados para minimizar o risco de exploração. Evite usar o parâmetro download no plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.