La vulnerabilidad de inyección de SQL en el plugin Country State City Dropdown CF7 para WordPress, en versiones hasta, e incluyendo, 2.7.2 permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-3495, denominada ‘Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)’, radica en la falta de neutralización adecuada de elementos especiales utilizados en un comando SQL. En este caso, el plugin Country State City Dropdown CF7 no escapa adecuadamente el parámetro suministrado por el usuario y no prepara suficientemente la consulta SQL existente. Como resultado, se abre la posibilidad de inyección de SQL para atacantes no autenticados.
Es fundamental para los usuarios de WordPress mantener sus plugins actualizados y seguir las mejores prácticas de seguridad para proteger sus sitios web de posibles ataques de inyección de SQL. La pronta acción para remediar esta vulnerabilidad en el plugin Country State City Dropdown CF7 es crucial para garantizar la integridad de los datos y la seguridad del sitio.