CVE-2026-10039

Nome do Software Vulnerável e Versões Afetadas Frontend Admin by DynamiApps versões anteriores a 3.28.29

Description O plugin está sujeito a SQL Injection genérico, que ocorre quando uma aplicação não sanitiza ou escapa adequadamente os dados fornecidos pelo usuário antes de incluí-los em uma consulta ao banco de dados. Atacantes autenticados com nível de acesso de administrador ou superior podem anexar consultas SQL adicionais para extrair informações sensíveis do banco de dados. Isso é possível através do parâmetro order, desde que um parâmetro orderby válido também seja fornecido na mesma requisição para atingir o caminho de código vulnerável.

Recommendations Atualize o plugin para uma versão posterior a 3.28.28. Como mitigação temporária, restrinja o acesso ao parâmetro order na funcionalidade afetada.