Vulnerabilidad en WooCommerce Google Feed Manager para WordPress (CVE-2024-3067)
Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
16/04/2024
Última modificación:
16/04/2024
Descripción
El complemento WooCommerce Google Feed Manager para WordPress es vulnerable a la inyección SQL a través del parámetro 'id' en todas las versiones hasta la 2.4.2 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con acceso de nivel de administrador y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos. Esto también lo pueden utilizar atacantes no autenticados para inyectar scripts web maliciosos.
Impacto
Puntuación base 3.x
7.20
Severidad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-product-feed-manager/trunk/includes/user-interface/class-wppfm-feed-editor-page.php#L34
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3070663%40wp-product-feed-manager&new=3070663%40wp-product-feed-manager
- https://www.wordfence.com/threat-intel/vulnerabilities/id/37bfb60d-8e2d-4c77-880c-3d17a6a434b8?source=cve