El plugin WP ERP | Solución completa de Recursos Humanos con reclutamiento y listado de empleos | CRM & Contabilidad de WooCommerce para WordPress es vulnerable a Inyección SQL basada en tiempo a través del parámetro id en todas las versiones hasta, e incluyendo, 1.12.9 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a los atacantes autenticados, con permisos de gerente de contabilidad o administrador o superiores, agregar consultas SQL adicionales a consultas ya existentes que se pueden utilizar para extraer información sensible de la base de datos.
Para mitigar el riesgo de explotación de esta vulnerabilidad, se recomienda a los usuarios de WP ERP actualizar su plugin a la última versión disponible, en este caso, a partir de la versión 1.13.0 que corrige esta vulnerabilidad. Además, se aconseja a los administradores de sitios web seguir las prácticas recomendadas de seguridad, como restringir el acceso a roles con permisos críticos y monitorear de cerca cualquier actividad sospechosa en el sitio.
Es crucial realizar actualizaciones regulares de plugins y seguir los protocolos de seguridad para proteger los sitios web WordPress de posibles ataques de inyección SQL y otras vulnerabilidades conocidas.