CVE-2026-4348

Nome do Software Vulnerável e Versões Afetadas BetterDocs Pro versões anteriores a 3.7.1

Descrição O plugin é suscetível a SQL Injection por meio das ações AJAX get current letter docs e docs sort by letter. O problema ocorre porque o parâmetro POST limit é interpolado diretamente em uma string de consulta SQL antes de ser processado por $wpdb->prepare(), que não parametriza essa variável específica. Isso permite que atacantes não autenticados anexem consultas SQL maliciosas para extrair informações sensíveis do banco de dados. Este problema é explorável apenas se o recurso Encyclopedia estiver habilitado nas configurações.

Recomendações Atualize para uma versão posterior a 3.7.0. Como mitigação temporária, desabilite o recurso Encyclopedia nas configurações para evitar a exploração.