La vulnerabilidad CVE-2024-2871 encontrada en el plugin Media Library Assistant para WordPress permite a usuarios autenticados, con acceso de contribuidor o superior, llevar a cabo ataques de inyección de SQL a través de los shortcodes del plugin.
La versión 3.13 y anteriores del plugin Media Library Assistant para WordPress son vulnerables a Inyección SQL debido a que no se realiza un escape suficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a los atacantes autenticados, con acceso de contribuidor o superior, agregar consultas SQL adicionales en consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Media Library Assistant a la última versión disponible y verificar y sanitizar adecuadamente los datos proporcionados por los usuarios en los shortcodes del plugin para evitar ataques de inyección de SQL.