El plugin de WordPress WP ERP es vulnerable a inyección SQL a través del parámetro ‘vendor_id’ en todas las versiones hasta, e incluyendo, la 1.13.0 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de administrador de contabilidad (capacidad erp_ac_view_sales_summary) y superior, agregar consultas SQL adicionales en consultas ya existentes que pueden usarse para extraer información sensible de la base de datos.
La vulnerabilidad identificada con el ID CVE ‘CVE-2024-6666’ en el plugin WP ERP permite realizar inyección SQL a través del parámetro ‘vendor_id’. Para mitigar esta vulnerabilidad, se recomienda a los usuarios de WP ERP actualizar a la última versión disponible, en la cual se han implementado medidas de seguridad para prevenir la inyección SQL. Además, se recomienda a los usuarios restringir los privilegios de acceso a la función de administrador de contabilidad y monitorear de cerca cualquier actividad sospechosa en el sitio.
Es fundamental para los usuarios de WP ERP tomar medidas proactivas para proteger su sitio web de posibles ataques de inyección SQL. Mantener el plugin actualizado y limitar los privilegios de acceso son pasos clave para mitigar el riesgo de explotación de esta vulnerabilidad en particular.