CVE-2024-13676

Nome do Software Vulnerável e Versões Afetadas Versões do plugin Categorized Gallery até a 2.0, inclusive

Descrição O problema ocorre devido ao escape insuficiente no atributo field fornecido pelo usuário no shortcode image gallery e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes autenticados, com acesso de nível de Contribuidor ou superior, anexem consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações sensíveis do banco de dados.

Recomendações Para versões até a 2.0, inclusive, considere desativar o shortcode image gallery até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso ao atributo field do shortcode image gallery para minimizar o risco de ataques de injeção de SQL. Como solução temporária, limite o acesso de nível de Contribuidor ou superior para reduzir o potencial de atacantes autenticados explorarem esta questão. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.