El plugin HUSKY – Productos Filter para WooCommerce Professional para WordPress es vulnerable a Inyección SQL a través del parámetro ‘name’ en el shortcode woof en todas las versiones hasta, e incluyendo, la 1.3.5.2 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, agregar consultas SQL adicionales en consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La Inyección SQL es una vulnerabilidad grave que puede poner en peligro la seguridad de un sitio web. En el caso de este plugin, los usuarios deben actualizar a la última versión disponible, en este caso la versión 1.3.5.3, que corrige esta vulnerabilidad. Además, se recomienda limitar los privilegios de los roles de usuario en WordPress para reducir el impacto de posibles ataques de este tipo. También es importante mantener un monitoreo constante de la seguridad del sitio y realizar copias de seguridad periódicas para poder restaurar la información en caso de un compromiso de seguridad.
Mantener todos los plugins y temas de WordPress actualizados es fundamental para prevenir ataques de seguridad como la Inyección SQL. Al tomar medidas proactivas como limitar el acceso de los roles de usuario y realizar copias de seguridad regularmente, los propietarios de sitios web pueden reducir significativamente el riesgo de sufrir problemas de seguridad.