La vulnerabilidad CVE-2023-5000 permite a atacantes autenticados con permisos de contribuidor y superiores realizar inyección SQL en el plugin Horizontal Scrolling Announcements de WordPress a través del shortcode ‘hsas-shortcode’.
El plugin Horizontal Scrolling Announcements para WordPress es vulnerable a inyección SQL en las versiones hasta la 2.4 debido a la falta de escape en el parámetro suministrado por el usuario y la insuficiente preparación en la consulta SQL existente. Esto permite que atacantes autenticados con permisos de contribuidor y superiores puedan añadir consultas SQL adicionales en las consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Horizontal Scrolling Announcements a la última versión disponible y restringir los permisos de usuario en función de las necesidades para reducir el riesgo de un ataque de inyección SQL.