El plugin Collapsing Categories para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘taxonomy’ de la API REST /wp-json/collapsing-categories/v1/get en todas las versiones hasta, e incluyendo, la 3.0.8 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes que se pueden utilizar para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad deben desactivar inmediatamente el plugin Collapsing Categories hasta que se lance una actualización que corrige este problema. Además, se recomienda mantener todos los plugins y temas de WordPress actualizados regularmente para evitar posibles vulnerabilidades de seguridad. Los webmasters pueden monitorear el tráfico y los registros del servidor en busca de actividad sospechosa, y evaluar la posibilidad de implementar medidas de seguridad adicionales, como firewalls de aplicaciones web o inspección de tráfico para protegerse contra este tipo de ataques.
Es fundamental tomar medidas inmediatas para proteger la integridad de los sitios web de WordPress y la información de los usuarios. La colaboración entre los desarrolladores de plugins, los administradores de sitios web y los expertos en seguridad es esencial para mitigar los riesgos asociados con las vulnerabilidades de seguridad en WordPress y en cualquier otra plataforma en línea.