CVE-2024-13712

Nome do Software Vulnerável e Versões Afetadas Plugin Pollin para WordPress versões até a 1.01.1 (inclusive)

Descrição A falha permite que atacantes não autenticados executem Injeção de SQL via o parâmetro question devido ao escapamento insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados.

Recomendações Para versões até a 1.01.1 (inclusive), considere desabilitar o parâmetro question até que uma correção esteja disponível para prevenir ataques de Injeção de SQL. Restrinja o acesso a informações sensíveis do banco de dados para minimizar o risco de exploração.