En este reporte de seguridad, se ha descubierto una vulnerabilidad de Inyección de SQL sin autenticación en la versión 9.9 y anteriores del complemento WP Booking Calendar para WordPress. Esta vulnerabilidad permite a atacantes no autenticados agregar consultas de SQL adicionales a las consultas ya existentes, lo que puede comprometer la información confidencial almacenada en la base de datos.
La versión 9.9 y anteriores del complemento WP Booking Calendar para WordPress contienen un error de escape insuficiente en el parámetro ‘calendar_request_params[dates_ddmmyy_csv]’ y falta de preparación suficiente en la consulta de SQL existente. Esto significa que los atacantes no autenticados pueden manipular el parámetro para agregar consultas de SQL adicionales, lo que les permite extraer información confidencial de la base de datos.
Para solucionar este problema, se recomienda a los usuarios actualizar el complemento a la versión más reciente, ya que los desarrolladores han corregido esta vulnerabilidad en las versiones posteriores. Además, se sugiere implementar buenas prácticas de seguridad, como filtrar y validar adecuadamente cualquier entrada de usuario antes de enviarla a la base de datos para prevenir futuras inyecciones de SQL.
La vulnerabilidad de Inyección de SQL sin autenticación en el complemento WP Booking Calendar <= 9.9 es un riesgo significativo para los usuarios de WordPress. Al actualizar a la versión más reciente del complemento y seguir buenas prácticas de seguridad, los usuarios pueden protegerse de posibles ataques y salvaguardar la integridad de su información almacenada en la base de datos.