CVE-2024-13713

Nome do Software Vulnerável e Versões Afetadas Plugin WPExperts Square For GiveWP para WordPress, versões até e incluindo a 1.3.1

Descrição A falha permite que atacantes autenticados com acesso de nível de Assinante ou superior realizem Injeção de SQL através do parâmetro post, devido ao escape insuficiente e à falta de preparação na consulta SQL existente. Isso possibilita aos atacantes extrair informações sensíveis do banco de dados anexando consultas SQL adicionais às existentes.

Recomendações Para o plugin WPExperts Square For GiveWP para WordPress, versões até e incluindo a 1.3.1, considere restringir o acesso ao parâmetro post no endpoint da API afetado até que uma correção esteja disponível. Como solução temporária, evite utilizar o parâmetro post em consultas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.