El plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘status_type’ en todas las versiones hasta, e incluyendo, la 4.15.7 debido a un escape insuficiente en el parámetro provisto por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, agregar consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin lo antes posible para mitigar el riesgo de ser explotados. Además, se recomienda restringir el acceso de los usuarios con roles de Suscriptor y superiores, así como también implementar medidas adicionales de seguridad, como la aplicación de filtros de entrada y la validación de datos en los formularios de la aplicación.
Es fundamental mantener todos los plugins de WordPress actualizados y seguir las mejores prácticas de seguridad para protegerse de posibles vulnerabilidades como la Inyección de SQL. La colaboración activa entre los desarrolladores de plugins y los usuarios finales es esencial para garantizar un entorno en línea seguro y protegido.