CVE-2024-13479

Nome do Software Vulnerável e Versões Afetadas Plugin LTL Freight Quotes – Edição SEFL para WordPress versões anteriores à 3.2.5

Descrição O problema envolve Injeção de SQL via parâmetros dropship edit id e edit id devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser utilizado para extrair informações sensíveis do banco de dados.

Recomendações Para versões até a 3.2.4 inclusive, atualize para uma versão superior à 3.2.4 para resolver o problema. Como solução temporária, considere restringir o acesso aos parâmetros dropship edit id e edit id até que uma correção esteja disponível. Evite usar os parâmetros dropship edit id e edit id nos endpoints de API afetados até que o problema seja resolvido.