CVE-2024-13846

Nome do Software Vulnerável e Versões Afetadas Plugin Indeed Ultimate Learning Pro para WordPress, versões até a 3.9 (inclusive)

Descrição A falha permite Injeção de SQL baseada em tempo através do parâmetro post id, devido ao escaping insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes autenticados com acesso de nível de Administrador ou superior anexem consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações sensíveis do banco de dados.

Recomendações Para o plugin Indeed Ultimate Learning Pro para WordPress, versões até a 3.9 (inclusive), atualize para uma versão que corrija a falha de Injeção de SQL, pois a versão atual permite a exploração de informações sensíveis do banco de dados através do parâmetro post id. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.