De plugin GeoDirectory – WP Business Directory Plugin en Classified Listings Directory voor WordPress heeft een kritieke kwetsbaarheid (CVE-2024-13507) die van invloed is op alle versies tot en met 2.8.97. Deze kwetsbaarheid laat ongeauthenticeerde aanvallers toe om via de dist-parameter kwaadaardige SQL-opdrachten toe te voegen aan bestaande queries. Dit kan leiden tot toegang tot gevoelige informatie in de database.
Overzicht
De kwetsbaarheid is een tijdgebaseerde SQL-injectie (CWE-89), die voortkomt uit onvoldoende ontsnapping van gebruikersinvoer. Aanvallers hebben geen authenticatie nodig om deze aanvallen uit te voeren, wat de dreiging meer dan aanzienlijk maakt.
Aanbevelingen
- Update de GeoDirectory-plug-in direct naar een nieuwere versie dan 2.8.97.
- Controleer andere plugins en extensies op soortgelijke beveiligingsfouten.
Bronnen
Vraag en Antwoord
Wat is CVE-2024-13507?
Dit is een kwetsbaarheid in de GeoDirectory plugin die SQL-injectie mogelijk maakt via de dist-parameter.
Welke systemen zijn kwetsbaar voor CVE-2024-13507?
Systemen met de GeoDirectory plugin versie 2.8.97 of lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is een nieuwere versie van de plugin beschikbaar die de kwetsbaarheid aanpakt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige data uit de database extraheren zonder authenticatie.
