El plugin WP eCommerce para WordPress es vulnerable a Inyección SQL ciega basada en el tiempo a través del parámetro ‘cart_contents’ en todas las versiones hasta, e incluyendo, la 3.15.1 debido a la escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales en las consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Se recomienda a los usuarios afectados por esta vulnerabilidad que actualicen su plugin WP eCommerce a la última versión disponible, en la cual se hayan corregido los problemas de seguridad. Además, se sugiere implementar medidas de seguridad adicionales en el sitio web, como el uso de firewalls de aplicaciones web y la monitorización continua de posibles actividades sospechosas en la base de datos.
Es fundamental para la seguridad de tu sitio web mantener todos tus plugins y temas actualizados, así como implementar buenas prácticas de seguridad para prevenir posibles ataques como la Inyección SQL. Ante cualquier sospecha de actividad maliciosa, es recomendable realizar una auditoría de seguridad en el sitio para identificar posibles vulnerabilidades y tomar acciones correctivas de inmediato.