El plugin de WordPress Contact Form 7 para el almacenamiento de datos del lado del administrador es vulnerable a Inyección SQL a través del parámetro ‘form-id’ en todas las versiones hasta, e incluyendo, la 1.1.1 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente.
Esto permite a atacantes autenticados, con acceso de nivel administrador y superior, agregar consultas SQL adicionales en las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del plugin Contact Form 7 y mantener todos los plugins y temas de WordPress actualizados. Además, se debe restringir el acceso de administrador solo a usuarios confiables y utilizar medidas de seguridad adicionales como firewalls de aplicaciones web para ayudar a proteger contra posibles ataques de inyección SQL.