El plugin WP Data Access – App, Table, Form and Chart Builder para WordPress es vulnerable a inyección SQL a través del parámetro ‘order[user_login][dir]’ en todas las versiones hasta, e incluyendo, la 5.5.22 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales a consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad identificada en el plugin WP Data Access puede poner en riesgo la integridad y confidencialidad de los datos almacenados en un sitio web de WordPress. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, la cual probablemente contenga una corrección para este problema. Además, se aconseja a los usuarios restringir el acceso al panel de administración de WordPress solo a usuarios autorizados y mantener copias de seguridad periódicas de la base de datos para poder restaurarla en caso de una posible intrusión por medio de inyección SQL.
La importancia de mantener todos los plugins y temas de WordPress actualizados se vuelve evidente en situaciones como esta, donde una vulnerabilidad de inyección SQL puede resultar en la exposición de datos sensibles. Al tomar medidas proactivas para garantizar la seguridad de tu sitio web, puedes reducir significativamente el riesgo de sufrir una brecha de seguridad.