SeguridadWordPress.es

Recopilación de vulnerabilidades WordPress.

News Announcement Scroll <= 9.0.0 – Inyección SQL Autenticada (Colaborador+) a través de Shortcode

La vulnerabilidad CVE-2023-5663, denominada ‘Neutralización Inadecuada de Elementos Especiales utilizados en un Comando SQL (Inyección SQL)’, afecta al plugin News Announcement Scroll para WordPress en versiones hasta, e incluyendo, la 9.0.0. Esta vulnerabilidad permite a atacantes autenticados con permisos de colaborador o superiores, insertar consultas SQL adicionales en consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.

La falta de escapado suficiente en el parámetro proporcionado por el usuario y la falta de preparación adecuada en la consulta SQL existente son las causas de esta vulnerabilidad. Para mitigar el riesgo de explotación, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en la cual se hayan corregido las vulnerabilidades de seguridad. Además, se debe controlar y limitar estrictamente los permisos de los usuarios, evitando otorgar privilegios de colaborador o superiores a usuarios no confiables.
Es fundamental para la seguridad de un sitio web WordPress estar al tanto de las vulnerabilidades en los plugins utilizados y tomar medidas preventivas para protegerse contra posibles ataques. La rápida actualización de plugins y la gestión cuidadosa de los permisos de usuario son pasos cruciales para mantener la integridad y la seguridad del sitio.

Related Article