Recopilación de vulnerabilidades WordPress.

Advanced Floating Content <= 3.8.2 – Inyección de SQL Autenticada (Suscriptor+)

El plugin Advanced Floating Content para WordPress es vulnerable a Inyección de SQL a través de la función ‘floating_content_duplicate_post’ en todas las versiones hasta, e incluyendo, la 3.8.2 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, agregar consultas SQL adicionales a las consultas existentes que pueden utilizarse para extraer información sensible de la base de datos.

Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Advanced Floating Content a la última versión disponible, en este caso, la 3.8.3 o posterior. Además, se recomienda a los usuarios mantener sus plugins actualizados y revisar regularmente las actualizaciones de seguridad.
Es fundamental para la seguridad de un sitio WordPress mantener todos los plugins y temas actualizados para reducir las posibilidades de sufrir una vulnerabilidad explotable. En el caso específico del plugin Advanced Floating Content, se debe actualizar a la última versión disponible lo antes posible para mitigar el riesgo de una posible inyección de SQL.

Related Article