La vulnerabilidad CVE-2024-12030 en el plugin MDTF – Meta Data and Taxonomies Filter para WordPress permite a atacantes autenticados realizar inyecciones SQL, poniendo en riesgo la seguridad de la información almacenada en la base de datos.
La vulnerabilidad se encuentra en el atributo ‘key’ del shortcode ‘mdf_value’ en todas las versiones hasta, e incluyendo, la 1.3.3.5. La falta de escapado adecuado en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente, permiten a atacantes autenticados con acceso de nivel Contribuidor y superior, agregar consultas SQL adicionales en las consultas existentes para extraer información sensible de la base de datos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible que solucione esta vulnerabilidad y revisar de forma periódica los permisos de los usuarios para limitar el nivel de acceso y reducir el riesgo de exposición a ataques de inyección SQL.