CVE-2024-13534

Nome do Software Vulnerável e Versões Afetadas Plugin Small Package Quotes – Edição Worldwide Express para WordPress versões anteriores a 5.2.19

Descrição O problema refere-se a uma injeção de SQL via os parâmetros edit id e dropship edit id devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados.

Recomendações Para versões anteriores a 5.2.19, atualize para uma versão que inclua as correções de segurança necessárias para prevenir ataques de injeção de SQL. Como solução temporária, considere restringir o acesso aos parâmetros edit id e dropship edit id até que uma correção esteja disponível.