El plugin SQL Chart Builder para WordPress es vulnerable a Inyección de SQL a través del argumento ‘arg1’ del shortcode ‘gvn_schart_2’ en todas las versiones hasta, e incluyendo, la 2.3.6 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, agregar consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin SQL Chart Builder a la última versión disponible para corregir este problema de seguridad. Además, se recomienda restringir el acceso a los usuarios con privilegios mínimos necesarios en WordPress para reducir el riesgo de explotación de esta vulnerabilidad. También es importante monitorear de cerca la actividad del sitio en busca de comportamientos inusuales que puedan indicar un ataque en curso.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra posibles vulnerabilidades de seguridad. La Inyección de SQL es un vector de ataque común y peligroso que puede comprometer la integridad y confidencialidad de los datos del sitio. Al tomar medidas proactivas para mitigar estos riesgos, los usuarios pueden garantizar la seguridad de sus sitios web.