La vulnerabilidad CVE-2024-8436, que afecta al plugin WP Easy Gallery – WordPress Gallery Plugin hasta la versión 4.8.5, permite a atacantes autenticados con nivel de suscriptor o superior realizar Inyección SQL a través de los parámetros ‘edit_imageId’ y ‘edit_imageDelete’. Esto puede llevar a la extracción de información sensible de la base de datos.
El plugin WP Easy Gallery es vulnerable a Inyección SQL debido a la falta de escape en los parámetros suministrados por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados con nivel de suscriptor o superior, añadir consultas SQL adicionales a las consultas existentes para extraer información sensible de la base de datos. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se les aconseja revisar y mejorar la seguridad de sus contraseñas y roles de usuario para limitar el acceso de posibles atacantes.
Es crucial mantener los plugins de WordPress actualizados para protegerse contra vulnerabilidades como la Inyección SQL en WP Easy Gallery – WordPress Gallery Plugin <= 4.8.5. Al tomar medidas proactivas para mejorar la seguridad de su sitio, los usuarios pueden reducir significativamente el riesgo de sufrir una brecha de seguridad.