El plugin Library Management System – Manage e-Digital Books Library para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘value’ de la acción AJAX owt_lib_handler en todas las versiones hasta, e incluyendo, la 3.0.0 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a los atacantes autenticados, con acceso de nivel administrador y superior, agregar consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-8679 en el plugin Library Management System permite a atacantes autenticados con privilegios de administrador y superiores llevar a cabo una inyección de SQL, lo que les proporciona la capacidad de modificar las consultas SQL existentes y extraer información confidencial de la base de datos del sistema. Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible lo antes posible para mitigar el riesgo de explotación. Además, se recomienda restringir el acceso a los roles de administrador y supervisar de cerca cualquier actividad sospechosa en el sitio web.
Es fundamental que los administradores de sitios web que utilizan el plugin Library Management System estén al tanto de esta vulnerabilidad de inyección de SQL y tomen medidas inmediatas para proteger sus sistemas. Mantener el software actualizado y aplicar prácticas de seguridad sólidas pueden ayudar a prevenir ataques y proteger la información confidencial de los usuarios.