El plugin Frontend Admin by DynamiApps para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘orderby’ en todas las versiones hasta, e incluyendo, la 3.25.1 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Esto requiere que un usuario no autenticado tenga permiso para ver las presentaciones de formularios, y que el shortcode de presentación de formularios se agregue a una página. Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se recomienda no dar permisos sensibles a los usuarios no autenticados y tener cuidado al agregar códigos cortos de formularios a las páginas.
Es crucial tomar medidas proactivas para proteger la seguridad de tu sitio WordPress, mantén tus plugins actualizados y restringe los permisos de usuario de manera adecuada para reducir el riesgo de explotación de vulnerabilidades como esta CVE-2024-11722.