La vulnerabilidad CVE-2024-6479, también conocida como ‘SQL Injection’, afecta al plugin SIP Reviews Shortcode para WooCommerce en versiones hasta la 1.2.3. Esta vulnerabilidad permite a atacantes autenticados (Contributor+) ejecutar consultas SQL maliciosas a través del atributo ‘no_of_reviews’ en el shortcode woocommerce_reviews, lo que puede comprometer la seguridad y privacidad de la base de datos.
El plugin SIP Reviews Shortcode para WooCommerce es vulnerable a ataques de inyección SQL debido a la falta de escapado adecuado en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales a consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos. Se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible, además de implementar buenas prácticas de seguridad para proteger sus sitios de posibles ataques.
La importancia de mantener actualizados los plugins de WordPress y de seguir buenas prácticas de seguridad no puede ser subestimada. La vulnerabilidad CVE-2024-6479 pone de manifiesto la necesidad de estar siempre atento a posibles vulnerabilidades y de actuar rápidamente para mitigar cualquier riesgo para la seguridad de nuestros sitios web.