La vulnerabilidad de inyección SQL en el plugin LearnPress – WordPress LMS Plugin para WordPress permite a atacantes no autenticados insertar consultas SQL adicionales en consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
El plugin LearnPress – WordPress LMS Plugin para WordPress es vulnerable a Inyección SQL a través del parámetro ‘c_fields’ del punto final de la API REST /wp-json/lp/v1/courses/archive-course en todas las versiones hasta, e incluyendo, la 4.2.7 debido a escaso escaping en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Para subsanar este problema, se recomienda a los usuarios actualizar a la versión más reciente del plugin tan pronto como esté disponible. Además, se sugiere restringir el acceso a la API REST solo a usuarios autenticados y monitorear activamente cualquier uso sospechoso de la misma.
La seguridad de un sitio web WordPress es crucial, por lo tanto, es fundamental estar al tanto de las vulnerabilidades en plugins como LearnPress – WordPress LMS Plugin y tomar medidas proactivas para mitigar posibles riesgos de seguridad.