Una vulnerabilidad de inyección SQL ha sido descubierta en el plugin AWeber – Free Sign Up Form and Landing Page Builder Plugin for Lead Generation and Email Newsletter Growth para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de administrador o superior, agregar consultas SQL adicionales en consultas existentes para extraer información sensible de la base de datos.
La vulnerabilidad de inyección SQL se encuentra en el parámetro ‘post_id’ en todas las versiones hasta, e incluyendo, la versión 7.3.14 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a un atacante autenticado aprovechar esto para llevar a cabo ataques de inyección SQL y comprometer la seguridad de la base de datos del sitio web.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin AWeber a la última versión disponible. Además, se insta a los administradores a monitorear de cerca cualquier actividad sospechosa en sus sitios web y a implementar medidas de seguridad adicionales, como limitar el acceso de usuarios a niveles mínimos necesarios para reducir el riesgo de ataques inyección SQL.