O plugin Bit Assist para WordPress, em versões até 1.5.2, foi identificado com uma vulnerabilidade crítica de Injeção SQL. O problema ocorre no parâmetro ‘id’, que não é devidamente sanitizado, permitindo que atacantes autenticados com permissões de Subscriber ou superior executem consultas SQL maliciosas.
Essa vulnerabilidade, registrada como CVE-2025-0821, possui uma pontuação CVSS de 6.5 (Média) e pode ser explorada para extrair informações sensíveis do banco de dados. A falha é do tipo time-based SQL Injection, o que significa que os atacantes podem usar técnicas de atraso de tempo para inferir dados do sistema.
Recomendações:
- Atualize imediatamente o plugin para uma versão corrigida, caso disponível.
- Restrinja o acesso de usuários com permissões de Subscriber a áreas críticas do sistema.
- Revise e sanitize todos os parâmetros de entrada para evitar injeções SQL.
