El plugin The Ultimate WordPress Toolkit – WP Extended para WordPress es vulnerable a una Inyección SQL basada en el tiempo a través del módulo de Intentos de Inicio de Sesión en todas las versiones hasta, e incluyendo, la 3.0.12 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad identificada con el ID CVE-2024-13184 en el plugin The Ultimate WordPress Toolkit – WP Extended <= 3.0.12 presenta un grave riesgo de seguridad para los sitios web que lo utilizan. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible que incluya una solución para este problema de seguridad. Además, se aconseja revisar periódicamente las actualizaciones de seguridad de todos los plugins instalados en un sitio de WordPress y mantenerlos siempre actualizados para reducir la exposición a posibles vulnerabilidades.
La importancia de mantener todos los plugins de WordPress actualizados radica en reducir la superficie de ataque y proteger la integridad de los datos del sitio web. La Inyección SQL es una vulnerabilidad crítica que puede ser explotada por atacantes para comprometer la base de datos y robar información confidencial. Por tanto, es fundamental que los usuarios tomen medidas proactivas para garantizar la seguridad de sus sitios WordPress.