El plugin Easy Property Listings para WordPress es vulnerable a inyección SQL basada en tiempo a través del atributo ‘property_status’ en todas las versiones hasta, e incluyendo, la 3.5.2 debido a la falta de escape en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes autenticados, con acceso de contribuidor y superior, añadan consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad identificada con el ID CVE-2024-1893 en el plugin Easy Property Listings podría ser utilizada por un atacante con privilegios de contribuidor o superiores para llevar a cabo ataques de inyección SQL, lo que podría comprometer la integridad y confidencialidad de los datos almacenados en la base de datos de WordPress. Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible lo antes posible para mitigar el riesgo de explotación. Además, se recomienda revisar y reforzar las medidas de seguridad en el acceso y gestión de usuarios en el sitio web.
Es crucial mantener todos los plugins y temas de WordPress actualizados regularmente para protegerse contra vulnerabilidades conocidas. Además, se debe implementar buenas prácticas de seguridad, como limitar los privilegios de los usuarios y realizar copias de seguridad periódicas, para reducir la superficie de ataque y minimizar el impacto de posibles brechas de seguridad.