El plugin REST API TO MiniProgram para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘order’ del endpoint /wp-json/watch-life-net/v1/comment/getcomments en todas las versiones hasta, e incluyendo, la 4.7.1 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para subsanar este problema, los usuarios del plugin REST API TO MiniProgram deben actualizar a la última versión disponible que contenga una corrección para esta vulnerabilidad. Además, se recomienda restringir el acceso al endpoint vulnerable a través de medidas de seguridad adicionales, como el uso de firewalls de aplicaciones web o listas blancas IP.
Es crucial que los administradores de WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan e implementen las medidas necesarias para proteger sus sitios web contra posibles ataques de Inyección de SQL y otros vectores de ataque comunes.