CVE-2024-13369

Nome do Software Vulnerável e Versões Afetadas O plugin The Tour Master - Tour Booking, Travel, Hotel para WordPress, versões até e incluindo a 5.3.6

Descrição A questão está relacionada a uma Injeção de SQL baseada em tempo via o parâmetro review id, devido ao escapamento insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes autenticados, com acesso de nível de Assinante (Subscriber) ou superior, anexem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações sensíveis do banco de dados.

Recomendações Para versões até e incluindo a 5.3.6, considere desativar o parâmetro review id até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso às consultas SQL do plugin para minimizar o risco de extração de informações sensíveis. Evite utilizar o parâmetro review id nas consultas existentes até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.