CVE-2024-13485

Nome do Software Vulnerável e Versões Afetadas Plugin LTL Freight Quotes – ABF Freight Edition para WordPress, versões até e incluindo a 3.3.7

Descrição O problema envolve Injeção de SQL através dos parâmetros edit id e dropship edit id, devido ao escapamento insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na query SQL existente. Isso permite que atacantes não autenticados anexem queries SQL adicionais às queries já existentes, o que pode ser utilizado para extrair informações sensíveis do banco de dados.

Recomendações Para as versões até e incluindo a 3.3.7, atualize para uma versão superior à 3.3.7 para resolver o problema. Como solução temporária, considere restringir o acesso aos parâmetros edit id e dropship edit id para minimizar o risco de exploração. Evite utilizar esses parâmetros em queries existentes até que o problema seja resolvido.