CVE-2023-23488
CVE-2023-23488
Em resumo
Um plugin do WordPress possui uma falha crítica que permite a qualquer pessoa injetar comandos SQL maliciosos através de uma requisição web, expondo informações sensíveis do banco de dados sem necessidade de login.
Detalhe técnico
Vulnerabilidade de SQL injection não autenticada no endpoint REST do plugin Paid Memberships Pro (/pmpro/v1/order) via parâmetro 'code' permite que atacantes remotos executem consultas SQL arbitrárias, potencialmente causando acesso não autorizado, modificação ou exfiltração de dados sensíveis incluindo informações de membresía e pagamentos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Paid Memberships Pro WordPress Plugin, version < 2.9.8, is affected by an unauthenticated SQL injection vulnerability in the 'code' parameter of the '/pmpro/v1/order' REST route.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · Paid Memberships Pro WordPress PluginPoCs públicas encontradas — 4
githubgithub.com/cybfar/CVE-2023-23488-pmpro-2.8★ 1githubgithub.com/long-rookie/CVE-2023-23488-PoC★ 0cve_referencepacketstormsecurity.com/files/171661/WordPress-Paid-Memberships-Pro-2.9.8-SQL-Injection.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/51235não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →