El plugin SEO by Squirrly SEO para WordPress es vulnerable a la inyección SQL almacenada a través del parámetro ‘url’ en todas las versiones hasta, e incluyendo, la 12.3.19 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-6497, denominada ‘Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)’, permite a los atacantes autenticados realizar inyecciones SQL a través del parámetro ‘url’ del plugin SEO by Squirrly SEO. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin que corrija esta vulnerabilidad. Además, se aconseja a los usuarios limitar los permisos de los roles de usuario en WordPress para reducir el riesgo de que un atacante autenticado pueda explotar esta vulnerabilidad.
Es fundamental que los usuarios del plugin SEO by Squirrly SEO estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios web. Al seguir las recomendaciones de actualización y configuración de permisos, se puede reducir significativamente la exposición a este tipo de ataques de inyección SQL.