CVE-2018-25352

Nome do Software Vulnerável e Versões Afetadas WordPress Ultimate Form Builder Lite versões anteriores a 1.3.8

Description Atacantes autenticados podem manipular consultas ao banco de dados injetando código SQL por meio do parâmetro POST entry id. Isso é feito enviando solicitações POST para o endpoint 'admin-ajax.php' usando a ação ufbl get entry detail action, o que pode permitir a extração de dados, modificação de registros ou escalonamento de privilégios no banco de dados do WordPress.

Recommendations Atualize para uma versão posterior a 1.3.7. Como medida paliativa temporária, restrinja o acesso ao endpoint 'admin-ajax.php' ou evite o uso do parâmetro entry id até que a atualização seja aplicada.