El plugin Tourfic – Ultimate Hotel Booking, Travel Booking & Apartment Booking para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘enquiry_id’ de la función ‘tf_enquiry_reply_email_callback’ en todas las versiones hasta, e incluyendo, la 2.15.3. Esto permite a atacantes autenticados con acceso de nivel Suscriptor y superior, agregar consultas SQL adicionales en las consultas existentes para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-12032 denominada ‘Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)’ en el plugin Tourfic – Ultimate Hotel Booking, Travel Booking & Apartment Booking WordPress Plugin | WooCommerce Booking para WordPress puede ser explotada por atacantes autenticados para obtener información confidencial de la base de datos. Los usuarios afectados deben actualizar el plugin a la versión 2.15.4 o posterior para mitigar este riesgo de seguridad. Además, se recomienda restringir el acceso a los roles de usuario con privilegios de Suscriptor y superior para reducir el riesgo de ataque.
Es fundamental que los administradores de sitios WordPress mantengan sus plugins actualizados y sigan las mejores prácticas de seguridad para protegerse contra vulnerabilidades como la Inyección de SQL. Al tomar medidas proactivas para garantizar la seguridad de su sitio, se puede reducir significativamente el riesgo de compromiso de la base de datos y la exposición de datos sensibles.