La vulnerabilidad CVE-2024-1789 en el plugin WP SMTP para WordPress permite a atacantes autenticados, con nivel de acceso de administrador o superior, realizar Inyección SQL a través del parámetro ‘search’ en las versiones 1.2 a 1.2.6. Esto puede conducir a la extracción de información sensible de la base de datos.
La falta de escape adecuado en el parámetro proporcionado por el usuario y la insuficiente preparación en la consulta SQL existente son las causas de esta vulnerabilidad. Los usuarios afectados deben actualizar el plugin a la última versión disponible, en este caso, la 1.2.7, para corregir esta falla de seguridad de inmediato. Además, se recomienda mantener todos los plugins y temas de WordPress actualizados regularmente para mitigar este tipo de riesgos en el futuro.
La importancia de mantener actualizados tanto el núcleo de WordPress como sus plugins y temas no puede ser subestimada en la protección de los sitios web. Ante la presencia de vulnerabilidades como la Inyección SQL, la pronta aplicación de parches y actualizaciones es fundamental para mantener la seguridad de la plataforma.