CVE-2024-13500

Nome do Software Vulnerável e Versões Afetadas Versões do WP Project Manager até e incluindo a 2.6.17

Descrição A vulnerabilidade está relacionada a uma Injeção de SQL baseada em tempo (time-based SQL Injection) via parâmetro orderby, devido ao escaping insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes autenticados, com acesso de nível de Assinante (Subscriber) ou superior, anexem consultas SQL adicionais às consultas já existentes, que podem ser utilizadas para extrair informações sensíveis do banco de dados.

Recomendações Para versões até e incluindo a 2.6.17, considere desativar o parâmetro orderby até que uma correção (patch) esteja disponível para prevenir a exploração. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de extração de informações sensíveis. Atualize para uma versão que inclua uma correção para este problema assim que disponível.