Vulnerabilidad en Timetable and Event Schedule by MotoPress para WordPress (CVE-2024-3342)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
27/04/2024
Última modificación:
15/04/2026
Descripción
El complemento Timetable and Event Schedule by MotoPress para WordPress es vulnerable a la inyección SQL a través del atributo 'events' del shortcode 'mp-timetable' en todas las versiones hasta la 2.4.11 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario. y falta de preparación suficiente en la consulta SQL existente. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
Impacto
Puntuación base 3.x
9.90
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/changeset/3077596/mp-timetable/trunk/classes/models/class-events.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/9670bd32-34ce-48b1-82d9-62ab8869a89b?source=cve
- https://plugins.trac.wordpress.org/changeset/3077596/mp-timetable/trunk/classes/models/class-events.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/9670bd32-34ce-48b1-82d9-62ab8869a89b?source=cve