El plugin Timetable and Event Schedule by MotoPress para WordPress es vulnerable a Inyección SQL a través del atributo ‘events’ del shortcode ‘mp-timetable’ en todas las versiones hasta, e incluyendo, la 2.4.11 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, agregar consultas SQL adicionales a las consultas ya existentes que se pueden utilizar para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin tan pronto como sea posible para mitigar el riesgo de explotación. Además, se recomienda limitar los privilegios de los usuarios, especialmente los de nivel contributor y superior, para reducir la posibilidad de que un atacante aproveche esta vulnerabilidad. También es importante estar atento a futuras actualizaciones del plugin y aplicarlas de inmediato para protegerse contra posibles amenazas de seguridad.
La Inyección SQL es una vulnerabilidad seria que puede exponer información confidencial y comprometer la integridad de la base de datos de un sitio web. Al tomar medidas proactivas, como mantener los plugins actualizados y limitar los privilegios de los usuarios, los propietarios de sitios WordPress pueden reducir el riesgo de sufrir este tipo de ataques.