El plugin Email Subscribers de Icegram Express – Email Marketing, Boletines, Automatización para WordPress y WooCommerce para WordPress es vulnerable a Inyección SQL a través de la función ‘run’ de la clase ‘IG_ES_Subscribers_Query’ en todas las versiones hasta, e incluyendo, la 5.7.14 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación adecuada en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales a consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para subsanar este problema, los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible lo antes posible. También es recomendable mantener siempre todos los plugins, temas y la propia instalación de WordPress actualizados para evitar posibles vulnerabilidades. Además, se sugiere implementar medidas de seguridad adicionales, como limitar el acceso a la página de administración del sitio y utilizar plugins de seguridad confiables.
Es fundamental que los usuarios tomen las medidas necesarias para proteger sus sitios de posibles ataques mediante la actualización constante de los plugins y la adopción de buenas prácticas de seguridad en WordPress.