La vulnerabilidad de Inyección SQL en tiempo real mediante el parámetro ‘belong_to’ en el plugin Houzez CRM para WordPress, en todas las versiones hasta, e incluyendo, la 1.4.2, permite a atacantes autenticados, con acceso de nivel Personalizado (vendedor) y superior, agregar consultas SQL adicionales en consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La falta de escape suficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente hacen posible esta vulnerabilidad. Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la última versión del plugin, en este caso la 1.4.3, que ya ha corregido este problema de seguridad. Además, se recomienda a los usuarios restringir el acceso a roles de usuario con privilegios de ‘vendedor’ y superiores, para limitar posibles ataques.
Es fundamental estar al tanto de las vulnerabilidades de seguridad en los plugins de WordPress y tomar medidas proactivas para protegerse. La actualización constante de los plugins a sus últimas versiones, junto con la restricción de accesos por roles de usuario, puede ayudar a reducir el riesgo de sufrir ataques de este tipo.