La vulnerabilidad CVE-2024-1173 en el plugin WP ERP para WordPress permite a atacantes autenticados llevar a cabo un ataque de Inyección SQL, lo que puede resultar en la extracción de información sensible de la base de datos del sitio web.
La versión 1.13.1 y anteriores de WP ERP son vulnerables a Inyección SQL basada en el tiempo a través del parámetro ‘id’, debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación adecuada en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de administrador o de manager de contabilidad, agregar consultas SQL adicionales a las consultas existentes para extraer información sensible de la base de datos.
Para mitigar este riesgo de seguridad, se recomienda a los usuarios actualizar a la última versión del plugin WP ERP. Además, se debe realizar una revisión de la seguridad del sitio web para identificar posibles brechas adicionales y aplicar las medidas necesarias para proteger la integridad de los datos.