Recopilación de vulnerabilidades WordPress.

NEX-Forms <= 8.7.13 – Inyección de SQL Autenticada (Admin+)

El plugin NEX-Forms – Ultimate Form Builder – Formularios de contacto y mucho más para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘search_params’ en todas las versiones hasta, e incluyendo, la 8.7.13 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados agreguen consultas SQL adicionales a consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos. Esto puede ser explotado a través de CSRF debido a la falta de validación de nonce en la acción AJAX get_table_records.

Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin tan pronto como sea posible para mitigar el riesgo de que sus sitios sean comprometidos. Además, se recomienda implementar medidas de seguridad adicionales, como la utilización de plugins de seguridad que ayuden a proteger contra ataques de inyección de SQL y CSRF. Es importante también realizar auditorías de seguridad regulares en el sitio web para identificar posibles vulnerabilidades y corregirlas de inmediato.
Es crucial tomar medidas proactivas para proteger la seguridad de su sitio web, especialmente cuando se trata de vulnerabilidades como la inyección de SQL. Al estar al tanto de las amenazas y mantener su sitio actualizado, puede reducir significativamente el riesgo de sufrir un ataque exitoso.

Related Article