El plugin de Calendario de Reservas y Plugin de Programación – BookingPress para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘category’ del shortcode ‘bookingpress_form’ en todas las versiones hasta, e incluyendo, la 1.1.21 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de Contribuidor y superior, añadir consultas SQL adicionales en consultas ya existentes que pueden usarse para extraer información sensible de la base de datos.
El ID CVE asignado a esta vulnerabilidad es CVE-2024-11726. La explotación de esta vulnerabilidad puede permitir a un atacante autenticado realizar consultas SQL maliciosas y potencialmente acceder a información confidencial de la base de datos del sitio web afectado. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin BookingPress a la versión más reciente disponible, la cual debería corregir esta vulnerabilidad. Además, se les insta a limitar los privilegios de los usuarios a los estrictamente necesarios para reducir el impacto de posibles ataques.
Es fundamental para la seguridad de tu sitio web WordPress mantener actualizados todos los plugins y temas instalados, ya que las vulnerabilidades como la mencionada pueden ser utilizadas por los atacantes para comprometer la seguridad de tu sitio. Recuerda siempre realizar copias de seguridad periódicas y seguir las recomendaciones de seguridad de WordPress para proteger tu sitio de posibles amenazas.