El plugin de Shopping Cart & eCommerce Store para WordPress es vulnerable a Inyección SQL basada en booleanos a través del parámetro ‘model_number’ en todas las versiones hasta, e incluyendo, la 5.7.2 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, agreguen consultas SQL adicionales a las consultas existentes que pueden utilizarse para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad deben actualizar de inmediato a la última versión del plugin Shopping Cart & eCommerce Store. Además, se recomienda limitar el acceso de los usuarios autenticados a niveles de permisos mínimos necesarios para prevenir posibles ataques. Se aconseja también realizar revisiones periódicas del código personalizado y de terceros para identificar posibles vulnerabilidades de seguridad.
Es fundamental mantener siempre actualizados todos los plugins y temas de WordPress para evitar posibles vulnerabilidades de seguridad, especialmente aquellas relacionadas con la inyección SQL. La vigilancia constante y la implementación de medidas de seguridad proactivas son clave para proteger un sitio web de posibles ataques cibernéticos.