La vulnerabilidad de inyección de SQL en el plugin WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress, en versiones hasta la 1.12.9, permite a atacantes autenticados con nivel de suscriptor y superior, realizar inyecciones de SQL a través del parámetro ’email’. Esto puede resultar en la extracción de información sensible de la base de datos.
La vulnerabilidad identificada con el ID CVE-2024-0608 se debe a una neutralización inadecuada de elementos especiales utilizados en un comando SQL (‘SQL Injection’). Los atacantes pueden aprovechar esta vulnerabilidad para agregar consultas SQL adicionales a las consultas existentes y extraer información confidencial. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y limitar los permisos de los usuarios autorizados.
Es fundamental estar al tanto de las vulnerabilidades en los plugins utilizados en WordPress y aplicar las actualizaciones de seguridad pertinentes de manera oportuna para proteger la integridad de los datos y la privacidad de los usuarios.