El plugin Unlimited Elements For Elementor (Free Widgets, Addons, Templates) para WordPress es vulnerable a una inyección SQL ciega a través del parámetro ‘data[addonID]’ en todas las versiones hasta, e incluyendo, 1.5.109. Esta vulnerabilidad se debe a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente.
Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, agregar consultas SQL adicionales a consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Unlimited Elements For Elementor lo antes posible. Además, se aconseja a los desarrolladores revisar y corregir el código para garantizar que se realicen escapes adecuados en los parámetros del usuario y que las consultas SQL se preparen de manera segura.