El plugin Barcode Scanner and Inventory manager para WordPress es vulnerable a Inyección SQL ciega a través del parámetro ‘currentIds’ en todas las versiones hasta la 1.5.4, debido a la insuficiente escapada en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, agregar consultas SQL adicionales en consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible, en este caso, la 1.5.5. Además, se recomienda restringir los privilegios de los usuarios suscriptores u otros roles de usuario con acceso limitado para reducir el riesgo de explotación de la vulnerabilidad. Es importante seguir las buenas prácticas de seguridad para proteger los datos de los usuarios y evitar posibles brechas de seguridad en el futuro.
La importancia de mantener actualizados los plugins y seguir buenas prácticas de seguridad no puede ser subestimada. La vulnerabilidad de Inyección SQL en Barcode Scanner with Inventory & Order Manager es una clara advertencia de los riesgos asociados con la falta de seguridad en el desarrollo de plugins para WordPress.