La vulnerabilidad CVE-2024-4443 afecta al plugin Business Directory Plugin – Easy Listing Directories for WordPress en versiones hasta 6.4.2, permitiendo a atacantes no autenticados realizar Inyección SQL basada en tiempo a través del parámetro ‘listingfields’. Esto puede conducir a la extracción de información sensible de la base de datos.
La vulnerabilidad surge debido a la falta de escape adecuado en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Los usuarios afectados deben actualizar el plugin a la última versión disponible lo antes posible. Además, se recomienda restringir el acceso al área de administración del plugin solo a usuarios autorizados y monitorear de cerca cualquier actividad inusual en el sitio web.
Mantener todos los plugins y temas de WordPress actualizados es fundamental para garantizar la seguridad de un sitio web. Al abordar rápidamente las vulnerabilidades reportadas y seguir las mejores prácticas de seguridad, los usuarios pueden reducir significativamente el riesgo de compromiso de su sitio.