La vulnerabilidad CVE-2024-4743 afecta al plugin LifterLMS para WordPress, permitiendo a atacantes autenticados realizar Inyección SQL a través del atributo orderBy del shortcode lifterlms_favorites en versiones hasta 7.6.2. Esto podría resultar en la extracción de información sensible de la base de datos.
La versión del plugin LifterLMS para eLearning hasta la 7.6.2 es vulnerable a Inyección SQL debido a la falta de escape en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Los atacantes autenticados, con acceso de nivel Contributor y superior, pueden agregar consultas SQL adicionales a las ya existentes para extraer información confidencial de la base de datos.
Para subsanar esta vulnerabilidad, se recomienda actualizar el plugin LifterLMS a la última versión disponible y mantener todos los plugins y temas de WordPress actualizados. Además, se aconseja limitar el acceso de los usuarios a roles con privilegios mínimos para reducir el riesgo de explotación de Inyección SQL.