La vulnerabilidad de Inyección SQL en el plugin Create by Mediavine para WordPress permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes para extraer información sensible de la base de datos.
La versión 1.9.4 y anteriores del plugin Create by Mediavine para WordPress son vulnerables a un ataque de Inyección SQL a través del parámetro ‘id’. Esta vulnerabilidad se debe a la falta de escape del parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Como resultado, los atacantes pueden manipular las consultas SQL existentes para acceder a información confidencial en la base de datos. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y verificar regularmente la seguridad de sus plugins mediante escaneos de seguridad.
Es fundamental que los usuarios de WordPress mantengan sus plugins actualizados y adopten buenas prácticas de seguridad, como minimizar el acceso de usuarios no autenticados y realizar copias de seguridad periódicas de la base de datos para evitar la pérdida de datos sensibles.