CVE-2024-13750

Nome do Software Vulnerável e Versões Afetadas Plugin Multilevel Referral Affiliate para WooCommerce versões até 2.27

Descrição A falha permite que invasores autenticados com acesso de nível de Assinante (Subscriber) ou superior injetem consultas SQL, potencialmente extraindo informações sensíveis do banco de dados. Isso ocorre devido ao escaping insuficiente no parâmetro orderby e à falta de preparação na consulta SQL existente.

Recomendações Para versões até 2.27, considere restringir o acesso ao parâmetro orderby no endpoint da API afetado até que um patch esteja disponível. Como solução temporária (workaround), restrinja o acesso ao banco de dados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.