En este informe se detalla la vulnerabilidad de SQL Injection y Cross-Site Scripting en el plugin WooCommerce Google Feed Manager para WordPress, hasta la versión 2.4.2. Esta vulnerabilidad permite a atacantes autenticados con nivel de administrador o superior, agregar consultas SQL adicionales en consultas existentes para extraer información sensible de la base de datos.
El plugin WooCommerce Google Feed Manager es vulnerable a SQL Injection a través del parámetro ‘id’ en todas las versiones hasta la 2.4.2 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel administrativo y superior, agregar consultas SQL adicionales en consultas ya existentes que se pueden utilizar para extraer información sensible de la base de datos. Esto también puede ser utilizado por atacantes no autenticados para inyectar scripts web maliciosos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WooCommerce Google Feed Manager a la última versión disponible, que corrige este problema de seguridad. Además, se aconseja a los administradores supervisar de cerca cualquier actividad sospechosa en sus sitios web y aplicar las prácticas recomendadas de seguridad cibernética para reducir el riesgo de ataques.