CVE-2024-13489

Nome do Software Vulnerável e Versões Afetadas Plugin LTL Freight Quotes – Old Dominion Edition para WordPress, versões até a 4.2.10, inclusive

Descrição O problema está relacionado à Injeção de SQL através dos parâmetros edit id e dropship edit id, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, as quais podem ser usadas para extrair informações sensíveis do banco de dados.

Recomendações Para as versões até a 4.2.10, inclusive, considere desabilitar os parâmetros edit id e dropship edit id até que um patch esteja disponível para prevenir ataques de Injeção de SQL. Restrinja o acesso a informações sensíveis do banco de dados para minimizar o risco de exploração. Como contorno temporário, evite utilizar os parâmetros edit id e dropship edit id nos endpoints de API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.