La vulnerabilidad CVE-2024-1799 afecta al popular plugin GamiPress para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior realizar Inyección de SQL a través del atributo ‘achievement_types’ del shortcode gamipress_earnings en las versiones anteriores a la 6.8.6.
La vulnerabilidad se debe a la falta de escape en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a los atacantes agregar consultas SQL adicionales a las ya existentes, lo que podría utilizarse para extraer información sensible de la base de datos.
Se recomienda a los usuarios de GamiPress actualizar a la versión 6.8.7 o superior para evitar esta vulnerabilidad. Además, es importante mantener todos los plugins y temas de WordPress actualizados y realizar auditorías de seguridad regulares para protegerse contra posibles amenazas.