La vulnerabilidad de SQL Injection en el plugin Verowa Connect para WordPress, hasta la versión 3.0.1, permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes para extraer información sensible de la base de datos.
La versión 3.0.1 del plugin Verowa Connect para WordPress es vulnerable a SQL Injection a través del parámetro ‘search_string’ debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas ya existentes que pueden usarse para extraer información sensible de la base de datos.
Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin Verowa Connect tan pronto como esté disponible. Además, se debe evitar el uso de parámetros no sanitizados en consultas SQL y siempre validar y sanear la entrada del usuario antes de ejecutarla en la base de datos.