La vulnerabilidad CVE-2024-7150, denominada ‘Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)’, afecta al plugin Slider by 10Web – Responsive Image Slider para WordPress. Esta vulnerabilidad permite a atacantes autenticados con nivel Contributor o superior realizar Inyecciones SQL basadas en tiempo a través del parámetro ‘id’, lo que les permite extraer información sensible de la base de datos.
La versión 1.2.57 y anteriores del plugin Slider by 10Web – Responsive Image Slider son vulnerables a esta forma de ataque debido a la falta de escape adecuado en el parámetro proporcionado por el usuario y la escasa preparación en la consulta SQL existente. Esto significa que los atacantes pueden agregar consultas SQL adicionales a las ya existentes para extraer información confidencial, poniendo en riesgo la seguridad de los datos almacenados en la base de datos del sitio web.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin proporcionada por el desarrollador, la cual debe corregir la falta de escape en el parámetro ‘id’. Además, se aconseja a los administradores de sitios web que monitoreen de cerca cualquier actividad inusual en sus sitios y que limiten el acceso de los usuarios a roles con privilegios lo más estrictamente posible.