El plugin Blog2Social: Social Media Auto Post & Scheduler para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘b2sSortPostType’ en todas las versiones hasta, e incluyendo, la 7.4.1 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, agregar consultas SQL adicionales en consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad en el plugin Blog2Social deben actualizar a la versión 7.4.2 o posterior para mitigar el riesgo de exploit. Además, se recomienda a los administradores de sitios web revisar regularmente los logs del servidor en busca de actividades inusuales que puedan indicar intentos de explotación. También se puede considerar restringir el acceso de los usuarios con roles de suscriptor y superiores a funciones que no necesitan, limitando así el potencial de daño en caso de compromiso de cuenta.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas como la Inyección de SQL. Además, se debe implementar una gestión adecuada de roles y permisos de usuario para reducir el riesgo de acceso no autorizado a la base de datos del sitio web.