La vulnerabilidad CVE-2024-0913 en el plugin WP ERP | Solución completa de RRHH con reclutamiento y listados de trabajos | WooCommerce CRM y contabilidad para WordPress permite a atacantes autenticados realizar inyecciones de SQL basadas en tiempo a través del endpoint de la API REST erp/v1/accounting/v1/transactions/salidas en todas las versiones hasta, e incluyendo, 1.12.9. Esto se debe a un escape insuficiente en los parámetros de status y customer_id proporcionados por el usuario, así como a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con privilegios de gestor de contabilidad o admin y superiores, puedan agregar consultas SQL adicionales a las consultas existentes que se pueden utilizar para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin WP ERP a la última versión disponible, en este caso a la versión 1.12.10 o posterior, ya que el proveedor del plugin ha implementado medidas de seguridad para mitigar esta vulnerabilidad. Además, se recomienda revisar y restringir los privilegios de los usuarios con roles de contabilidad y administrador para limitar el riesgo de explotación. Mantener un firewall de aplicaciones web actualizado y realizar auditorías regulares de seguridad en el sitio web también son buenas prácticas para protegerse contra este tipo de ataques.
La importancia de mantener los plugins de WordPress actualizados y de seguir buenas prácticas de seguridad no puede ser subestimada. La vulnerabilidad de inyección de SQL en WP ERP pone de manifiesto la necesidad de una gestión proactiva de la seguridad en los sitios web para proteger la información confidencial de los usuarios y evitar posibles daños a la reputación de la empresa.