CVE-2024-13478

Nome do Software Vulnerável e Versões Afetadas Plugin LTL Freight Quotes – Edição TForce para WordPress, versões até e incluindo a 3.6.4

Descrição A questão envolve injeção de SQL através dos parâmetros dropship edit id e edit id, devido ao escapamento insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser utilizado para extrair informações sensíveis do banco de dados.

Recomendações Para versões até e incluindo a 3.6.4, atualize para uma versão superior à 3.6.4 para resolver o problema. Como medida temporária, considere restringir o acesso aos parâmetros dropship edit id e edit id para minimizar o risco de exploração.