El plugin Form Vibes para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘fv_export_data’ en todas las versiones hasta, e incluyendo, la 1.4.10 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Subscriber y superior, agregar consultas SQL adicionales a consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para subsanar este problema, los usuarios afectados deben actualizar el plugin Form Vibes a la versión 1.4.11 o superior, donde se han implementado las correcciones necesarias para mitigar esta vulnerabilidad. Además, se recomienda a los usuarios limitar los privilegios de los roles de usuario en WordPress para reducir el impacto de posibles ataques. También es importante seguir las mejores prácticas de seguridad, como mantener actualizados tanto el plugin como la versión de WordPress, y realizar revisiones periódicas de la seguridad del sitio.
La Inyección de SQL es una vulnerabilidad grave que puede exponer información confidencial y comprometer la integridad de la base de datos de un sitio web. Al tomar medidas preventivas, como actualizar regularmente los plugins y restringir los privilegios de los usuarios, los propietarios de sitios WordPress pueden reducir el riesgo de ser víctimas de este tipo de ataques.