La vulnerabilidad CVE-2024-10540, también conocida como ‘Inyección de SQL’, afecta al plugin Appointment Booking Calendar y Scheduling Plugin – BookingPress para WordPress. Esta vulnerabilidad permite a atacantes autenticados con acceso de Suscriptor o superior, insertar consultas SQL adicionales en consultas existentes para extraer información sensible de la base de datos.
La vulnerabilidad reside en el parámetro ‘service’ del shortcode bookingpress_form en todas las versiones hasta la 1.1.16. La falta de escape adecuado en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente permiten esta vulnerabilidad. Como medida de seguridad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, 1.1.17, la cual corrige esta vulnerabilidad. Además, se recomienda restringir el acceso a roles de Suscriptor y superiores para evitar posibles ataques.
Es crucial que los usuarios de Appointment Booking Calendar Plugin y Scheduling Plugin – BookingPress actualicen a la última versión para protegerse contra esta vulnerabilidad de inyección de SQL y refuercen la seguridad limitando el acceso a roles de suscripción y superiores.