El plugin BP Profile Shortcodes Extra para WordPress es vulnerable a Inyección SQL basada en el tiempo a través del parámetro ‘tab’ en todas las versiones hasta, e incluyendo, la 2.6.0 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, agregar consultas SQL adicionales a consultas existentes que pueden usarse para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-11732 en el plugin BP Profile Shortcodes Extra puede ser explotada por atacantes autenticados con al menos acceso de nivel Contribuidor para realizar Inyección SQL y comprometer la integridad y confidencialidad de la base de datos de WordPress. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la versión 2.6.1 o posterior. Además, es importante seguir las mejores prácticas de seguridad, como limitar el acceso de los usuarios a roles estrictamente necesarios y realizar auditorías de seguridad regulares en el sitio web.
Es fundamental para los usuarios de WordPress mantener sus plugins actualizados y tomar medidas proactivas para proteger sus sitios web contra posibles vulnerabilidades de seguridad, como en el caso de la vulnerabilidad de Inyección SQL en BP Profile Shortcodes Extra <= 2.6.0 a través del parámetro de pestaña. Al seguir buenas prácticas de seguridad, se puede reducir significativamente el riesgo de compromiso de la información y garantizar la integridad de los datos del sitio.