El complemento del Piraeus Bank WooCommerce Payment Gateway para WordPress es vulnerable a una inyección SQL basada en el tiempo a través del parámetro ‘MerchantReference’ en todas las versiones hasta, e incluyendo, la 1.6.5.1 debido a un escapado insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas ya existentes, que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad de inyección SQL en el complemento Piraeus Bank WooCommerce Payment Gateway puede explotarse mediante técnicas de inyección de tiempo ciego. Los atacantes pueden enviar una solicitud maliciosa con una cadena manipulada en el parámetro ‘MerchantReference’, la cual se concatena a la consulta SQL existente. Al manipular cuidadosamente la cadena, los atacantes pueden extraer información sensible de la base de datos, como nombres de usuario, contraseñas o datos financieros.
Para evitar la explotación de esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del complemento Piraeus Bank WooCommerce Payment Gateway tan pronto como esté disponible. Además, es fundamental implementar buenas prácticas de seguridad, como mantener todos los complementos y temas actualizados, utilizar contraseñas fuertes y únicas, realizar copias de seguridad periódicas del sitio web y monitorizar constantemente cualquier actividad sospechosa o inusual.