CVE-2024-27956

WordPress Automatic plugin <= 3.92.0 - Unauthenticated Arbitrary SQL Execution vulnerability

CVSS 9.9 CRITICALEPSS 94.0%CWE-89

Em resumo

O plugin Automatic do WordPress permite que atacantes executem comandos SQL arbitrários sem fazer login, podendo expor ou modificar informações sensíveis do banco de dados. Isso acontece porque o plugin não valida adequadamente os dados inseridos antes de usá-los em consultas.

Detalhe técnico

Vulnerabilidade de Injeção SQL (CWE-89) no plugin Automatic versões até 3.92.0 permite que atacantes não autenticados injetem comandos SQL maliciosos através de parâmetros de entrada inadequadamente sanitizados. A exploração bem-sucedida possibilita acesso não autorizado ao banco de dados, extração ou modificação de dados.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in ValvePress Automatic allows SQL Injection.This issue affects Automatic: from n/a through 3.92.0.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:L

Produtos afetados

ValvePress · Automatic

PoCs públicas encontradas — 16

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://patchstack.com/articles/critical-vulnerabilities-patched-in-wordpress-automatic-plugin?_s_id=cve https://patchstack.com/database/vulnerability/wp-automatic/wordpress-automatic-plugin-3-92-0-unauthenticated-arbitrary-sql-execution-vulnerability?_s_id=cve