El plugin Front End Users para WordPress es vulnerable a la inyección de SQL basada en el tiempo a través del parámetro ‘order’ en todas las versiones hasta, e incluyendo, la 3.2.28 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, agregar consultas SQL adicionales a las consultas existentes que pueden usarse para extraer información confidencial de la base de datos.
La vulnerabilidad CVE-2024-7607 en el plugin Front End Users puede ser explotada por atacantes autenticados para realizar ataques de inyección de SQL basados en el tiempo. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible. Además, se debe monitorear de cerca cualquier actividad sospechosa en el sitio web y limitar el acceso de los usuarios a roles con privilegios mínimos para reducir el impacto de posibles ataques.
Es crucial estar al tanto de las vulnerabilidades en los plugins y temas que se utilizan en un sitio WordPress y tomar medidas proactivas para proteger la seguridad de la plataforma. Al mantener todo el software actualizado y seguir las mejores prácticas de seguridad, se puede reducir significativamente el riesgo de sufrir ataques de inyección de SQL y otras amenazas cibernéticas.