Recopilación de vulnerabilidades WordPress.

Daily Prayer Time <= 2024.08.26 – Inyección SQL Autenticada (Contribuidor+)

El plugin Daily Prayer Time para WordPress es vulnerable a Inyección SQL a través del atributo ‘max_word’ del shortcode ‘quran_verse’ en todas las versiones hasta, e incluyendo, 2024.08.26 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, agregar consultas SQL adicionales a las consultas existentes que pueden utilizarse para extraer información sensible de la base de datos.

Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin Daily Prayer Time a la versión más reciente para mitigar el riesgo de explotación. Además, se recomienda limitar los privilegios de los usuarios en WordPress, asignando solo los permisos necesarios para llevar a cabo sus tareas. Por último, se insta a los administradores del sitio a monitorear de cerca cualquier actividad inusual en la base de datos que pueda indicar una posible explotación de esta vulnerabilidad.
La Inyección SQL es una vulnerabilidad grave que puede comprometer la seguridad y privacidad de un sitio web. Es crucial que los usuarios tomen medidas proactivas para proteger sus sitios, como mantener sus plugins y temas actualizados, implementar prácticas de seguridad sólidas y estar atentos a posibles indicadores de compromiso.

Related Article