El plugin WP Post Author – Mejora la Participación de tu Blog con Cuadro de Autor, Enlaces Sociales, Coautores, Autores Invitados, Sistema de Calificación de Publicaciones y Constructor de Formularios de Registro de Usuario Personalizado para WordPress es vulnerable a Inyección de SQL basada en tiempo a través del parámetro linked_user_id en todas las versiones hasta, e incluyendo, la 3.8.1 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, agregar consultas SQL adicionales en consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para subsanar este problema, los usuarios deben actualizar el plugin a la última versión disponible que haya parcheado esta vulnerabilidad. Además, se recomienda siempre mantener todos los plugins y temas de WordPress actualizados para evitar posibles brechas de seguridad. También es importante limitar el acceso de los usuarios a roles que no requieran permisos de administrador para reducir la superficie de ataque en caso de una vulnerabilidad similar en el futuro.
Es fundamental para la seguridad de tu blog mantener todos los componentes de WordPress actualizados y establecer prácticas de gestión de roles de usuario adecuadas para reducir el riesgo de explotación de vulnerabilidades como la Inyección de SQL autenticada en el plugin WP Post Author.