El plugin FV Flowplayer Video Player para WordPress es vulnerable a inyección SQL basada en el tiempo a través del parámetro ‘exclude’ en todas las versiones hasta, e incluyendo, 7.5.46.7212 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, agregar consultas SQL adicionales en las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin FV Player a la última versión disponible que haya corregido esta vulnerabilidad. Además, se aconseja a los administradores del sitio revisar los permisos de los usuarios para limitar el acceso a roles más restrictivos y monitorear cualquier actividad sospechosa relacionada con consultas SQL en la base de datos.
Es crucial mantener todos los plugins y temas de WordPress actualizados para protegerse de vulnerabilidades conocidas y potenciales. La seguridad en línea es un aspecto fundamental para mantener la integridad de un sitio web y proteger la información confidencial de los usuarios.