La vulnerabilidad de inyección SQL en el plugin ‘App Builder – Crear aplicaciones nativas para Android e iOS en el vuelo’ para WordPress permite a atacantes no autenticados insertar consultas SQL adicionales en consultas existentes, lo que podría resultar en la extracción de información sensible de la base de datos.
La versión 4.2.6 y anteriores del plugin App Builder son vulnerables a una inyección SQL limitada a través del parámetro ‘app-builder-search’. Esto se debe a la falta de escapado adecuado en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esta vulnerabilidad permite a atacantes no autenticados realizar consultas SQL adicionales para extraer información confidencial de la base de datos del sitio web afectado.
Es crucial que los usuarios actualicen a la última versión del plugin afectado y realicen revisiones de seguridad regulares en sus sitios WordPress para evitar la explotación de esta vulnerabilidad de inyección SQL.