La vulnerabilidad CVE-2024-3605 afecta al plugin WP Hotel Booking para WordPress, permitiendo a atacantes no autenticados realizar Inyección SQL a través del parámetro ‘room_type’ del endpoint de la API REST /wphb/v1/rooms/search-rooms en todas las versiones hasta, e incluyendo, la 2.1.0.
El problema radica en la falta de escape adecuado en el parámetro proporcionado por el usuario y en la preparación insuficiente en la consulta SQL existente. Esto facilita a los atacantes no autenticados añadir consultas SQL adicionales a las ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Para remediar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión disponible del plugin WP Hotel Booking. Además, se aconseja implementar medidas de seguridad adicionales, como la limitación de la exposición de la API REST solo a usuarios autenticados.