CVE-2024-13476

Nome do Software Vulnerável e Versões Afetadas Plugin LTL Freight Quotes – Edição GlobalTranz para WordPress, versões até e incluindo a 2.3.11

Descrição O problema está relacionado a uma Injeção de SQL via endpoint AJAX 'engtz wd save dropship' devido a um escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações sensíveis do banco de dados.

Recomendações Para versões até e incluindo a 2.3.11, atualize para uma versão posterior à 2.3.11 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint AJAX 'engtz wd save dropship' até que um patch esteja disponível. Evite usar o parâmetro vulnerável no endpoint AJAX afetado até que o problema seja resolvido.