El plugin Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal, Social Share Buttons para WordPress presenta una vulnerabilidad de Inyección SQL no autenticada que puede ser explotada por atacantes para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-10687 se produce debido a la falta de escape en el parámetro $collectedIds y a la preparación insuficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales en las consultas ya existentes, lo que puede dar lugar a la extracción de información confidencial de la base de datos. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a una versión posterior a la 24.0.3 que solucione esta vulnerabilidad. Además, se aconseja a los usuarios restringir el acceso al plugin a usuarios confiables y monitorear de cerca los intentos de acceso no autorizados.
La importancia de mantener actualizados los plugins y temas de WordPress radica en evitar la explotación de vulnerabilidades como la Inyección SQL no autenticada en el plugin Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery. Al tomar medidas proactivas para proteger los entornos de WordPress, los usuarios pueden reducir significativamente el riesgo de compromiso de la seguridad de sus sitios web.