CVE-2024-13473

Nome do Software Vulnerável e Versões Afetadas Plugin LTL Freight Quotes – Worldwide Express Edition para WordPress, versões até e incluindo a 5.0.20

Descrição O problema está relacionado à injeção de SQL através dos parâmetros dropship edit id e edit id devido ao escape insuficiente dos parâmetros fornecidos pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às existentes, potencialmente extraindo informações sensíveis do banco de dados.

Recomendações Para versões até e incluindo a 5.0.20, atualize para uma versão posterior à 5.0.20 para resolver o problema. Como solução temporária, considere restringir o acesso aos parâmetros dropship edit id e edit id até que um patch esteja disponível. Evite usar os parâmetros dropship edit id e edit id em consultas sensíveis até que o problema seja resolvido.