El plugin Pods – Custom Content Types and Fields para WordPress es vulnerable a Inyección SQL a través de shortcode en todas las versiones hasta, e incluyendo, la 3.0.10 (con la excepción de 2.7.31.2, 2.8.23.2, 2.9.19.2) debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, añadir consultas SQL adicionales en consultas existentes que pueden ser usadas para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin Pods a la versión más reciente disponible que haya corregido este problema. Además, se recomienda limitar el acceso a usuarios de nivel contribuidor o superior y restringir el uso de shortcodes a roles de usuario seguros. También se sugiere implementar medidas de seguridad adicionales, como firewalls de aplicaciones web y análisis de seguridad regulares.
Es crucial que los usuarios de WordPress estén al tanto de las vulnerabilidades en plugins populares como Pods – Custom Content Types and Fields y tomen medidas proactivas para proteger sus sitios web de posibles ataques. Al seguir las recomendaciones de seguridad mencionadas anteriormente, se puede reducir significativamente el riesgo de compromiso de la base de datos y proteger la integridad de la información del sitio.