CVE-2023-54359

Name of the Vulnerable Software and Affected Versions WordPress adivaha Travel Plugin versão 2.3

Description O plugin adivaha Travel para WordPress versão 2.3 contém uma vulnerabilidade de injeção SQL cega baseada em tempo. Atacantes não autenticados podem manipular consultas ao banco de dados injetando código SQL através do parâmetro GET pid. Os atacantes podem enviar solicitações para o endpoint /mobile-app/v3/ com valores pid criados usando cargas úteis baseadas em XOR para extrair informações confidenciais do banco de dados ou causar negação de serviço.

Recommendations Atualize o plugin WordPress adivaha Travel para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, restrinja o acesso ao endpoint /mobile-app/v3/.