El plugin Icegram Express para WordPress es vulnerable a Inyección SQL a través del parámetro ‘options[list_id]’ en todas las versiones hasta la 5.7.22 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes autenticados, con acceso a nivel de Suscriptor y superior, agreguen consultas SQL adicionales a las consultas existentes que pueden utilizarse para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad en Icegram Express deben actualizar urgentemente a la última versión disponible, en este caso la 5.7.23, que corrige este problema de seguridad. Además, se recomienda a los usuarios implementar buenas prácticas de seguridad, como limitar el acceso a los roles de suscriptores y supervisar de cerca cualquier actividad sospechosa en el sitio web.
Es crucial que los administradores de sitios web que utilicen Icegram Express estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger su sitio. La actualización del plugin y la aplicación de medidas de seguridad adicionales son pasos críticos para mitigar el riesgo de explotación de esta vulnerabilidad de Inyección SQL autenticada.