En este reporte de seguridad se ha identificado una vulnerabilidad de Inyección de SQL en el plugin Awesome Support – WordPress HelpDesk & Support Plugin para WordPress, en su versión 6.1.7 y anteriores. Esta vulnerabilidad permite a atacantes autenticados con privilegios de suscriptor o superior, ejecutar consultas SQL maliciosas y extraer información confidencial de la base de datos.
La vulnerabilidad se encuentra en la función wpas_get_users del plugin, específicamente en el parámetro ‘q’. Este parámetro no está correctamente escapado, lo que permite a un atacante añadir consultas SQL adicionales a las consultas existentes. Esto conlleva la posibilidad de extraer información sensible de la base de datos.
Para subsanar este problema, los usuarios afectados deben actualizar su versión de Awesome Support – WordPress HelpDesk & Support Plugin a la versión más reciente disponible. Además, es recomendable revisar y fortalecer la seguridad de sus instalaciones de WordPress, manteniendo siempre actualizados los plugins y temas utilizados, así como implementar buenas prácticas de seguridad, como la utilización de contraseñas robustas y la limitación de privilegios de los usuarios. En caso de sospechar de actividad maliciosa, se recomienda realizar una exhaustiva revisión de la base de datos para identificar cambios no autorizados.
La inyección de SQL es una vulnerabilidad de seguridad seria que puede exponer información valiosa y comprometer la integridad de un sitio web. En el caso específico de Awesome Support – WordPress HelpDesk & Support Plugin, es crucial actualizar a la última versión disponible para mitigar dicha vulnerabilidad. Además, es esencial seguir buenas prácticas de seguridad en WordPress y mantener una actitud proactiva en la protección de los sitios web.