El plugin tagDiv Opt-In Builder es vulnerable a Inyección SQL a ciegas a través del parámetro ‘couponId’ del endpoint de la API REST ‘recreate_stripe_subscription’ en las versiones hasta, e incluyendo, la 1.4.4 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados con privilegios de administrador añadir consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin tagDiv Opt-In Builder a la última versión disponible, que soluciona este problema de seguridad. Además, se recomienda restringir el acceso a los endpoints vulnerables de la API REST a usuarios no autenticados y asegurarse de que se están aplicando las prácticas recomendadas de seguridad en el desarrollo de plugins para WordPress.
Es fundamental para la seguridad de tu sitio web mantener todos los plugins y temas actualizados, así como implementar medidas de seguridad adicionales para proteger contra posibles ataques, como la Inyección SQL. La vigilancia constante y la actuación proactiva son clave para garantizar la integridad y la seguridad de tu WordPress.