La vulnerabilidad CVE-2024-3561 se encuentra en el plugin Custom Field Suite para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior llevar a cabo una inyección de SQL a través del campo personalizado de ‘Término’. Esto puede resultar en la extracción de información sensible de la base de datos.
La versión 2.6.7 y anteriores del plugin Custom Field Suite son vulnerables a este tipo de ataque debido a la falta de escape en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto posibilita a los atacantes autenticados con nivel de contribuidor o superior agregar consultas SQL adicionales en las consultas existentes, lo que puede ser utilizado para extraer información sensible de la base de datos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Custom Field Suite a la última versión disponible, que contiene correcciones para este problema de seguridad. Además, se sugiere a los administradores limitar los privilegios de los usuarios a los estrictamente necesarios y realizar auditorías de seguridad periódicas para detectar posibles vulnerabilidades.