El plugin de WordPress Calendario de Reservas de Citas — Plugin de Reservas de Citas Simply Schedule Appointments es vulnerable a Inyección SQL a través del parámetro customer_id en todas las versiones hasta, e incluyendo, la 1.6.7.7 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes autenticados, con acceso de contribuidor o superior, agreguen consultas SQL adicionales en consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para subsanar este problema, se recomienda a los usuarios actualizar su plugin Calendario de Reservas de Citas — Plugin de Reservas de Citas Simply Schedule Appointments a la última versión disponible, en la cual se han implementado medidas para corregir esta vulnerabilidad. Además, se sugiere a los administradores del sitio limitar el acceso de los usuarios con roles de contribuidor o superior para reducir el riesgo de explotación de esta vulnerabilidad.
Es fundamental mantener todos los plugins y temas de WordPress actualizados regularmente para proteger tu sitio web de posibles vulnerabilidades. La seguridad de tu sitio web es responsabilidad de todos los usuarios, por lo que es importante tomar las medidas necesarias para mantenerlo protegido.