CVE-2025-2186

ALT (7,5)

CVSS3: 0,0

El complement Recover WooCommerce Cart Abandonment, Newsletter, Email Marketing, Marketing Automation By FunnelKit per a WordPress és vulnerable a la injecció SQL mitjançant el paràmetre “automationId” en totes les versions fins a la 3.5.1 inclosa, a causa d’una escapada insuficient del paràmetre subministrat per l’usuari i de la manca de preparació suficient per a la consulta SQL existent. Això fa possible que els atacants no autenticats puguin afegir consultes SQL addicionals a consultes ja existents que es poden utilitzar per extreure informació delicada de la base de dades.

Sistemes Afectats

• amans2k FunnelKit Automations – Email Marketing Automation and CRM for WordPress & WooCommerce

Remediació
No hi ha cap recurs disponible a partir del 22 de març del 2025.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/88f8fa25-e3d5-4dfd-aae5-68b5880ffd53?source=cve
• https://plugins.trac.wordpress.org/browser/wp-marketing-automations/trunk/includes/api/wc/class-bwfan-api-get-automation-dynamic-coupon.php#L50
• https://plugins.trac.wordpress.org/changeset/3257474/