La vulnerabilidad de Inyección SQL en el plugin App Builder – Crear Aplicaciones Nativas Android & iOS en el Vuelo para WordPress, permite a atacantes no autenticados insertar consultas SQL adicionales en consultas existentes, lo que podría resultar en la extracción de información sensible de la base de datos.
El plugin App Builder – Crear Aplicaciones Nativas Android & iOS en el Vuelo hasta la versión 4.2.6, es vulnerable a una inyección SQL limitada a través del parámetro ‘app-builder-search’. Esto se debe a la falta de escapado suficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Los atacantes pueden aprovechar esta vulnerabilidad para insertar consultas SQL maliciosas y extraer datos sensibles de la base de datos.
Se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, a la versión 4.2.7 o posterior que soluciona este problema de seguridad. Además, se sugiere implementar medidas adicionales de seguridad como la limitación de acceso a la funcionalidad afectada y la monitorización de posibles actividades sospechosas en el sitio web.