La vulnerabilidad de Inyección SQL basada en tiempo en el plugin Unlimited Elements For Elementor para WordPress permite a atacantes autenticados con permisos de nivel Contributor o superior, y con permisos de edición de ajustes de plugin otorgados por un administrador, ejecutar consultas SQL maliciosas para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-6166, identificada como ‘Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)’, afecta a todas las versiones del plugin hasta la 1.5.112. Esto se debe a un escape insuficiente en el parámetro ‘addons_order’ suministrado por el usuario y a una preparación insuficiente en la consulta SQL existente. Los usuarios afectados deben actualizar a la última versión del plugin lo antes posible para mitigar este riesgo de seguridad. Además, se recomienda limitar los privilegios de los usuarios con acceso al plugin y monitorizar de cerca cualquier actividad sospechosa en la base de datos.
Es fundamental que los usuarios de Unlimited Elements For Elementor estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios WordPress. Mantener el plugin actualizado y limitar los privilegios de los usuarios son pasos clave para mitigar el riesgo de una explotación exitosa de esta vulnerabilidad.