La vulnerabilidad CVE-2024-5756 afecta al plugin de WordPress Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce en su versión 5.7.23 y anteriores, permitiendo a atacantes no autenticados llevar a cabo una inyección SQL basada en el tiempo a través del parámetro db.
La falta de un escape adecuado en el parámetro suministrado por el usuario y la insuficiente preparación en la consulta SQL existente hacen posible que los atacantes no autenticados puedan agregar consultas SQL adicionales a las ya existentes, lo que podría permitirles extraer información sensible de la base de datos.
Se recomienda a los usuarios afectados actualizar a la última versión del plugin lo antes posible para mitigar el riesgo de explotación de esta vulnerabilidad. Además, se aconseja a los administradores de sitios web implementar medidas adicionales de seguridad, como el filtrado y validación de datos de entrada, para prevenir futuros ataques de inyección SQL.