El plugin WP ULike – Conjunto de Herramientas de Marketing de WordPress más Avanzado es vulnerable a Inyección SQL a través de los atributos ‘status’ e ‘id’ de los shortcodes ‘wp_ulike_counter’ y ‘wp_ulike’ en todas las versiones hasta, e incluyendo, la 4.6.9 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, agregar consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-1797 en el plugin WP ULike – Conjunto de Herramientas de Marketing de WordPress más Avanzado hasta la versión 4.6.9 permite a atacantes autenticados realizar Inyección SQL a través de los shortcodes ‘wp_ulike_counter’ y ‘wp_ulike’. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y restringir los privilegios de los usuarios para limitar el acceso a la función de los shortcodes afectados. Además, se aconseja a los administradores de sitios web realizar revisiones periódicas de seguridad y monitorizar cualquier actividad sospechosa en la plataforma WordPress.
Es fundamental que los administradores de sitios web tomen medidas proactivas para proteger sus instalaciones de WordPress de vulnerabilidades conocidas como la Inyección SQL en el plugin WP ULike. Mantener todos los plugins y temas actualizados, así como restringir los privilegios de los usuarios, son pasos clave para garantizar la seguridad de un sitio web en WordPress.