La vulnerabilidad CVE-2024-12195 afecta al plugin de WordPress WP Project Manager – Task, team, and project management, permitiendo a atacantes autenticados llevar a cabo ataques de inyección SQL mediante el parámetro ‘project_id’ en el endpoint /wp-json/pm/v2/projects/2/task-lists.
La falta de escape adecuado en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente permiten a un atacante autenticado, con acceso a un proyecto, agregar consultas SQL adicionales que pueden utilizarse para extraer información sensible de la base de datos. Esta vulnerabilidad afecta a todas las versiones hasta la 2.6.16 del plugin.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar WP Project Manager a la versión 2.6.17 o superior y monitorear activamente posibles ataques. Además, se debe restringir el acceso a usuarios autenticados confiables y limitar los permisos de acceso a proyectos sensibles.