El plugin de Funcionalidad de Tema Houzez para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘currency_code’ en todas las versiones hasta, e incluyendo, la 3.2.2 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Personalizado (vendedor) y superior, añadir consultas SQL adicionales en consultas ya existentes que pueden ser usadas para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad en el plugin Houzez Theme – Functionality deben asegurarse de actualizar a la versión 3.2.3 o posterior, donde se ha corregido este problema. Además, se recomienda a los administradores de sitios web restringir el acceso a los roles de usuario que no sean necesarios y revisar regularmente las actividades inusuales en el escritorio de WordPress para detectar posibles intrusiones.
Es crucial que los propietarios de sitios web utilicen las últimas versiones de sus plugins y temas de WordPress para protegerse contra vulnerabilidades conocidas como la Inyección de SQL. La buena práctica de la seguridad cibernética implica mantenerse actualizado con los parches de seguridad y llevar a cabo auditorías de seguridad periódicas para proteger la integridad de los datos de los sitios web.