CVE-2024-13474

Nome do Software Vulnerável e Versões Afetadas Plugin LTL Freight Quotes – Edição Purolator para WordPress, versões até e incluindo a 2.2.3

Descrição O problema está relacionado a uma Injeção de SQL via parâmetros dropship edit id e edit id, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, as quais podem ser utilizadas para extrair informações sensíveis do banco de dados.

Recomendações Para versões até e incluindo a 2.2.3, considere desabilitar os parâmetros dropship edit id e edit id até que um patch esteja disponível. Restrinja o acesso às consultas SQL para minimizar o risco de exploração. Evite utilizar os parâmetros dropship edit id e edit id no plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.