El plugin WP Events Manager para WordPress es vulnerable a una inyección SQL basada en el tiempo a través del parámetro ‘order’ en todas las versiones hasta, e incluyendo, la 2.1.11 debido a un escapado insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor o superior, agregar consultas SQL adicionales a las consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-7717 en el plugin WP Events Manager pone en riesgo la seguridad de los sitios web de WordPress que lo utilizan. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la versión 2.1.12 o posterior. Además, se sugiere a los administradores de sitios web restringir el acceso a los roles de usuario ‘Suscriptor’ y superiores para evitar que posibles atacantes aprovechen esta vulnerabilidad. Mantener un monitoreo constante de la actividad en el sitio y realizar copias de seguridad periódicas también son prácticas recomendadas para proteger la integridad de la información almacenada en la base de datos.
Es crucial tomar medidas proactivas para proteger los sitios web de posibles ataques de inyección SQL y otras vulnerabilidades. Mantener los plugins y temas actualizados, restringir el acceso de los usuarios privilegiados y realizar copias de seguridad regularmente son prácticas de seguridad fundamentales para garantizar la seguridad de un sitio web de WordPress.