El plugin Internal Linking for SEO traffic & Ranking – Auto internal links (100% automatic) para WordPress es vulnerable a inyección SQL basada en el tiempo a través del parámetro ‘post_id’ en todas las versiones hasta, e incluyendo, la 1.2.1 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente.
Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, agregar consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Internal Linking for SEO traffic & Ranking – Auto internal links (100% automatic) a la última versión disponible lo antes posible. Además, se debe revisar y validar cualquier entrada de usuario antes de ejecutar consultas SQL para prevenir ataques de inyección SQL.