PT-2026-39945 · WordPress · Ai Chatbot & Workflow Automation
Kazuma Matsumoto
·
Publicado
2026-05-12
·
Atualizado
2026-05-12
·
CVE-2026-2993
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
AI Chatbot & Workflow Automation by AIWU versões anteriores a 1.4.18
Descrição
O plugin AI Chatbot & Workflow Automation by AIWU para WordPress contém uma falha que permite que atacantes não autenticados anexem consultas SQL adicionais a consultas existentes. Isso é causado pela limpeza insuficiente de parâmetros fornecidos pelo usuário e pela falta de preparação adequada da consulta SQL na função
getListForTbl(). Isso pode levar à extração de informações sensíveis do banco de dados. SQL Injection é uma técnica onde um atacante insere código SQL malicioso em uma consulta para manipular o banco de dados.Recomendações
Atualize para uma versão posterior a 1.4.17.
Como medida paliativa temporária, restrinja o acesso à função
getListForTbl().Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ai Chatbot & Workflow Automation