La vulnerabilidad CVE-2024-9130 en el plugin GiveWP para WordPress permite a atacantes autenticados realizar Inyección SQL a través del parámetro ‘order’, lo que podría comprometer la seguridad de los datos del sitio web.
El plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a una Inyección SQL basada en tiempo a través del parámetro ‘order’ en todas las versiones hasta, e incluyendo, la 3.16.1 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel GiveWP Manager y superior, agregar consultas SQL adicionales en consultas ya existentes dentro del modo Legacy View, que pueden usarse para extraer información sensible de la base de datos.
Se recomienda a los usuarios de GiveWP Plugin actualizar a la última versión disponible, en este caso, la 3.16.2 o posterior para mitigar esta vulnerabilidad de seguridad. Además, se insta a los administradores a monitorear de cerca la actividad del plugin y asegurarse de que los roles de usuario estén adecuadamente configurados para evitar posibles explotaciones de esta vulnerabilidad.