El plugin Media Library Assistant para WordPress es vulnerable a Inyección SQL a través del shortcode del plugin en todas las versiones hasta, e incluyendo, la 3.15 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, agregar consultas SQL adicionales en las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-3518, calificada como Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’), afecta a los usuarios del plugin Media Library Assistant en versiones anteriores a 3.15. Como solución, se recomienda a los usuarios actualizar a la última versión disponible del plugin para evitar esta vulnerabilidad. Además, se insta a los administradores a monitorear de cerca cualquier actividad sospechosa en la biblioteca de medios y revisar los permisos de los usuarios con acceso al backend de WordPress.
Es crucial que los administradores de sitios de WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger sus sitios y datos. Al mantener los plugins actualizados y limitar el acceso de los usuarios a funciones sensibles, se puede reducir significativamente el riesgo de explotación de vulnerabilidades como esta inyección SQL autenticada en el plugin Media Library Assistant.