En este reporte se detalla una vulnerabilidad de Inyección SQL en el plugin LifterLMS para WordPress, que puede ser explotada por usuarios autenticados con nivel de administrador o superior.
La vulnerabilidad de Inyección SQL en LifterLMS hasta la versión 7.7.5 se debe a una falta de escape adecuado en el parámetro ‘order’ de las consultas SQL, junto con una preparación insuficiente en la consulta existente. Esto posibilita a atacantes autenticados, con acceso de nivel administrador o superior, añadir consultas SQL adicionales en las consultas ya existentes para extraer información sensible de la base de datos.
Se recomienda a los usuarios de LifterLMS actualizar el plugin a la última versión disponible lo antes posible para mitigar esta vulnerabilidad. Además, se sugiere revisar regularmente la seguridad de sus instalaciones de WordPress y seguir las mejores prácticas de seguridad para protegerse de posibles ataques.