La vulnerabilidad de inyección de SQL del plugin Themify – WooCommerce Product Filter para WordPress permite a atacantes no autenticados realizar inyecciones de SQL basadas en el tiempo a través del parámetro ‘condiciones’ en todas las versiones hasta, e incluyendo, la 1.4.9 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que los atacantes no autenticados añadan consultas SQL adicionales a consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Los usuarios de WordPress que utilicen el plugin Themify – WooCommerce Product Filter hasta la versión 1.4.9 deben actualizar a la última versión disponible lo antes posible para mitigar esta vulnerabilidad. Además, se recomienda a los usuarios implementar medidas de seguridad adicionales, como limitar el acceso al panel de administración solo a usuarios autorizados, asegurarse de que todos los plugins y temas utilizados estén actualizados y realizar regularmente auditorías de seguridad en el sitio web para detectar posibles vulnerabilidades.
Es crucial mantener todos los componentes de un sitio web de WordPress actualizados y seguir las mejores prácticas de seguridad para protegerse contra posibles ataques de inyección de SQL y otras vulnerabilidades conocidas.