La vulnerabilidad CVE-2024-0786 permite a atacantes autenticados realizar inyección de SQL en el plugin Conversios – Google Analytics 4 (GA4), Meta Pixel & more Via Google Tag Manager For WooCommerce para WordPress. Esta vulnerabilidad afecta a todas las versiones hasta la 6.9.1 y puede ser explotada por usuarios con acceso de suscriptor o superior para extraer información sensible de la base de datos.
La función ee_syncProductCategory es la que contiene la vulnerabilidad de inyección de SQL. Los parámetros conditionData, valueData, productArray, exclude e include no son correctamente escapados, lo que permite a un atacante autenticado insertar consultas SQL adicionales en las consultas existentes. Para mitigar este riesgo, se recomienda actualizar el plugin a la última versión disponible, 6.9.2, donde se han implementado las correcciones necesarias para resolver este problema de seguridad.
Es fundamental para los usuarios de Conversios – Google Analytics 4 (GA4), Meta Pixel & more Via Google Tag Manager For WooCommerce estar al tanto de esta vulnerabilidad y tomar medidas inmediatas para proteger sus sitios de futuros ataques. Mantener todos los plugins y temas actualizados, realizar copias de seguridad regularmente y monitorear de cerca cualquier actividad sospechosa en el sitio son prácticas importantes para salvaguardar la seguridad de WordPress.