La vulnerabilidad conocida como CVE-2024-4779 se refiere a una Inyección SQL en el plugin Unlimited Elements For Elementor para WordPress. Este tipo de vulnerabilidad puede ser aprovechada por atacantes autenticados con nivel de contribuidor o superior para extraer información sensible de la base de datos.
El plugin Unlimited Elements For Elementor (Free Widgets, Addons, Templates) para WordPress es vulnerable a Inyección SQL a través del parámetro ‘data[post_ids][0]’ en todas las versiones hasta, e incluyendo, la 1.5.107 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la query SQL existente. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, añadir consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Unlimited Elements For Elementor a una versión posterior a la 1.5.107 tan pronto como sea posible. Además, se aconseja a los administradores de sitios web limitar los privilegios de los usuarios autenticados, asegurando que solo aquellos que realmente necesitan acceso contribuidor o superior tengan tales permisos.