CVE-2024-11260

Nome do Software Vulnerável e Versões Afetadas O plugin The Events Manager – Calendar, Bookings, Tickets, and more! para WordPress, versões até a 6.6.3 (inclusive)

Descrição O problema está relacionado a uma Injeção de SQL baseada em tempo via o parâmetro active status, devido a um escaping insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados.

Recomendações Para versões até a 6.6.3 (inclusive), considere atualizar para uma versão que corrija este problema, pois nenhuma solução alternativa específica é fornecida para estas versões. Como solução alternativa temporária, considere restringir o acesso ao parâmetro active status na consulta SQL afetada até que um patch esteja disponível.