CVE-2025-0866

Nome do Software Vulnerável e Versões Afetadas Plugin Legoeso PDF Manager para WordPress versões até e incluindo a 1.2.2

Descrição A vulnerabilidade permite que atacantes autenticados com acesso de nível de Autor ou superior realizem Injeção de SQL baseada em tempo através do parâmetro checkedVals, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita aos atacantes anexar consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações sensíveis do banco de dados.

Recomendações Para as versões até e incluindo a 1.2.2, considere desativar o parâmetro checkedVals até que uma correção esteja disponível para prevenir potenciais ataques de Injeção de SQL. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de exploração, especialmente para usuários com acesso de nível de Autor ou superior.