El complemento TrueBooker – Citas y Programador para WordPress es vulnerable a Inyección SQL en todas las versiones hasta, e incluyendo, 1.0.2 debido a la escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación adecuada en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales a consultas existentes que pueden usarse para extraer información sensible de la base de datos.
La vulnerabilidad de la Inyección SQL no autenticada en TrueBooker <= 1.0.2, identificada con el ID CVE-2024-6924, puede ser explotada por atacantes para comprometer la integridad y confidencialidad de los datos de un sitio web WordPress. Para mitigar esta vulnerabilidad, los usuarios deben actualizar el complemento a la última versión disponible tan pronto como sea posible. Además, se recomienda a los usuarios que sigan las mejores prácticas de seguridad, como restringir el acceso a la administración del sitio solo a usuarios autorizados y mantener actualizados todos los complementos y temas instalados.
Es fundamental que los administradores de sitios web WordPress tomen medidas proactivas para proteger sus sitios de posibles ataques de Inyección SQL. Mantener los complementos y temas actualizados, así como implementar medidas de seguridad adicionales, puede ayudar a reducir el riesgo de explotación de vulnerabilidades como la descubierta en TrueBooker <= 1.0.2.