El plugin MDTF – Meta Data and Taxonomies Filter para WordPress es vulnerable a Inyección SQL a través del atributo ‘meta_key’ del shortcode ‘mdf_select_title’ en todas las versiones hasta, e incluyendo, la 1.3.3.3 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, agregar consultas SQL adicionales en consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad identificada con el ID CVE ‘CVE-2024-8624’ en el plugin MDTF – Meta Data and Taxonomies Filter para WordPress permite a atacantes autenticados realizar Inyección SQL para extraer información confidencial de la base de datos del sitio web. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la versión 1.3.3.4. Además, se sugiere restringir los permisos de los usuarios autenticados, limitando el nivel de acceso necesario para minimizar el impacto de posibles ataques.
Es fundamental para los usuarios de WordPress mantener sus plugins actualizados y seguir buenas prácticas de seguridad, como la asignación de permisos mínimos necesarios a los roles de usuario. Al tomar medidas proactivas, se puede reducir la superficie de ataque y proteger la integridad de la información del sitio web.