El plugin Media Library Assistant para WordPress es vulnerable a inyección de SQL basada en tiempo a través del parámetro ‘order’ dentro del Shortcode mla_tag_cloud en todas las versiones hasta, e incluyendo, la 3.16 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso a nivel de contribuidor y superior, agregar consultas SQL adicionales a consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para mitigar este problema de seguridad, se recomienda a los usuarios de WordPress que utilicen el plugin Media Library Assistant actualizarlo a la última versión disponible lo antes posible. Además, se recomienda a los administradores de sitios web que monitoreen de cerca cualquier actividad sospechosa en su sitio y limiten el acceso de los usuarios a funciones sensibles.
Es crucial para la seguridad de un sitio web estar al tanto de las vulnerabilidades en los plugins y software utilizados, así como de aplicar parches y actualizaciones de forma proactiva para protegerse de posibles ataques. Mantenerse informado sobre las últimas amenazas y buenas prácticas de seguridad es fundamental en la protección de la integridad y privacidad de los datos del sitio.