CVE-2026-3018

Nome do Software Vulnerável e Versões Afetadas Newsletters plugin for WordPress versões anteriores a 4.14

Description O plugin é suscetível a SQL Injection baseada em tempo, uma técnica onde um invasor envia consultas que forçam o banco de dados a aguardar um tempo específico antes de responder, permitindo a inferência de dados. Isso ocorre devido à limpeza insuficiente de parâmetros fornecidos pelo usuário e à falta de preparação adequada da consulta SQL. Atacantes não autenticados podem anexar consultas SQL adicionais a consultas existentes para extrair informações sensíveis do banco de dados através do parâmetro wpmlsubscriber id.

Recommendations Atualize o plugin para a versão 4.14 ou posterior. Como medida paliativa temporária, restrinja o acesso à funcionalidade que utiliza o parâmetro wpmlsubscriber id.