Recopilación de vulnerabilidades WordPress.

Inyección de SQL Autenticada (Admin+) en Responsive Filterable Portfolio <=1.0.8

El plugin Responsive Filterable Portfolio para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘id’ en todas las versiones hasta, e incluyendo, la 1.0.8 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados añadan consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.

La vulnerabilidad CVE-2019-25221 en el plugin Responsive Filterable Portfolio <=1.0.8 permite a un atacante autenticado (con rol de administrador o superior) ejecutar consultas SQL maliciosas en la base de datos del sitio web. Para mitigar esta vulnerabilidad, los usuarios deben actualizar el plugin a la última versión disponible (1.0.9 o posterior). También se recomienda tener precaución al instalar plugins de terceros y mantener un monitoreo constante de la seguridad del sitio.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para evitar posibles vulnerabilidades como la Inyección de SQL. La seguridad en el entorno de WordPress es responsabilidad de todos los usuarios, por lo que es importante tomar medidas proactivas para proteger los sitios web.

Related Article