La vulnerabilidad de inyección SQL en el plugin Conversios – Google Analytics 4 (GA4), Meta Pixel & más a través de Google Tag Manager para WooCommerce para WordPress permite a atacantes autenticados con acceso de suscriptor o superior, insertar consultas SQL adicionales en consultas existentes para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-1203, denominada ‘Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)’, afecta a todas las versiones del plugin hasta la versión 6.9.1. El problema radica en la falta de escape adecuado en el parámetro ‘valueData’ suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la versión más reciente, preferiblemente después de realizar una copia de seguridad de los datos. Además, se sugiere limitar el acceso de los usuarios a roles con capacidades mínimas para reducir el riesgo de explotación de esta vulnerabilidad.
Es crucial para los usuarios de Conversios – Google Analytics 4 (GA4), Meta Pixel & más a través de Google Tag Manager para WooCommerce mantenerse informados sobre esta vulnerabilidad de inyección SQL y tomar medidas proactivas para proteger sus sitios web.