El plugin LearnPress – WordPress LMS Plugin para WordPress es vulnerable a inyección de SQL basada en tiempo a través del parámetro ‘order’ en todas las versiones hasta, e incluyendo, la versión 4.2.6.9.3 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, agregar consultas SQL adicionales en consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La vulnerabilidad CVE-2024-7548 en el plugin LearnPress – WordPress LMS Plugin pone en peligro la integridad y seguridad de los datos de los usuarios de WordPress. Para mitigar este riesgo, es crucial actualizar el plugin a la última versión disponible. Además, se recomienda a los usuarios restringir los niveles de acceso de los roles de usuario, evitando otorgar privilegios de Contributor o superiores a usuarios no confiables. Mantener un monitoreo constante de la actividad del sitio web y aplicar medidas de seguridad adicionales también puede ayudar a prevenir posibles exploits.
La importancia de mantener todos los plugins y temas actualizados en WordPress no puede ser subestimada, ya que las vulnerabilidades como la inyección de SQL pueden ser explotadas por atacantes con intenciones maliciosas. Se insta a todos los propietarios de sitios web a tomar medidas proactivas para proteger sus sitios y datos mediante buenas prácticas de seguridad cibernética.