Vulnerabilidad en Timetable and Event Schedule by MotoPress para WordPress (CVE-2024-3342)
Severidad:
CRÍTICA
Type:
No Disponible / Otro tipo
Fecha de publicación:
27/04/2024
Última modificación:
29/04/2024
Descripción
El complemento Timetable and Event Schedule by MotoPress para WordPress es vulnerable a la inyección SQL a través del atributo 'events' del shortcode 'mp-timetable' en todas las versiones hasta la 2.4.11 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario. y falta de preparación suficiente en la consulta SQL existente. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
Impacto
Puntuación base 3.x
9.90
Severidad 3.x
CRÍTICA