El plugin Pinpoint Booking System – #1 WordPress Booking Plugin para WordPress es vulnerable a Inyección SQL a través del parámetro ‘schedule’ en todas las versiones hasta, e incluyendo, la 2.9.9.5.0 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, añadir consultas SQL adicionales en las consultas ya existentes que se pueden utilizar para extraer información sensible de la base de datos.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Pinpoint Booking System a la última versión disponible. Además, se aconseja validar y sanitizar adecuadamente cualquier entrada de usuario antes de utilizarla en consultas SQL para prevenir ataques de inyección SQL. Los administradores del sitio deben tener en cuenta la importancia de mantener todos los plugins y temas actualizados para protegerse contra posibles vulnerabilidades.
La Inyección SQL autenticada en el plugin Pinpoint Booking System resalta la importancia de la seguridad en WordPress y la necesidad de estar al tanto de las actualizaciones de seguridad. Al tomar medidas proactivas para protegerse contra este tipo de vulnerabilidades, los usuarios pueden garantizar la seguridad de sus sitios web y la información sensible de sus usuarios.