CVE-2024-13595

Nome do Software Vulnerável e Versões Afetadas Plugin Simple Signup Form para WordPress versões até a 1.6.5 inclusive

Descrição O problema está relacionado à Injeção de SQL através do atributo id do shortcode ssf. Isso se deve ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Atacantes autenticados com acesso de nível de Contribuidor ou superior podem anexar consultas SQL adicionais às consultas já existentes para extrair informações sensíveis do banco de dados.

Recomendações Para versões até a 1.6.5 inclusive, considere desativar o shortcode ssf até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso ao shortcode para minimizar o risco de ataques de Injeção de SQL. Evite usar o atributo id no shortcode ssf até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.