El plugin Poll Maker – Encuestas Versus, Encuestas Anónimas, Encuestas de Imágenes para WordPress es vulnerable a una inyección de SQL basada en tiempo a través del parámetro ‘orderby’ en todas las versiones hasta, e incluyendo, la 5.4.6 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a los atacantes autenticados, con acceso de nivel Administrador y superior, agregar consultas SQL adicionales a las consultas existentes que se pueden utilizar para extraer información sensible de la base de datos.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WordPress Poll Maker a la última versión disponible, en este caso, la 5.4.7 o posterior. Además, se debe monitorear de cerca cualquier actividad sospechosa en el sitio web y restringir el acceso de los usuarios a roles que no requieran privilegios de administrador. También es importante realizar auditorías regulares de seguridad para detectar posibles vulnerabilidades en los plugins instalados.
La importancia de mantener actualizados los plugins en WordPress y estar al tanto de las vulnerabilidades reportadas es crucial para proteger la integridad de un sitio web y la información de sus usuarios. No tomar las medidas necesarias para corregir estas vulnerabilidades puede exponer la base de datos y la seguridad del sitio a posibles ataques y compromisos.