La vulnerabilidad de Inyección SQL en el plugin Email Subscribers by Icegram Express para WordPress permite a atacantes no autenticados ejecutar consultas SQL adicionales y extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-6172 se debe a la falta de escapado adecuado en el parámetro db y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a los atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes y extraer información confidencial de la base de datos. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la versión 5.7.26 o superior, donde se han implementado medidas de seguridad para prevenir esta vulnerabilidad.
Es crucial mantener actualizados los plugins y temas de WordPress para protegerse de vulnerabilidades como la Inyección SQL. Además, se recomienda a los usuarios implementar buenas prácticas de seguridad, como la restricción de acceso a los archivos y la base de datos de WordPress, para prevenir posibles ataques.