{"id":3362,"date":"2024-03-28T19:46:10","date_gmt":"2024-03-28T19:46:10","guid":{"rendered":"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/"},"modified":"2024-03-28T19:46:10","modified_gmt":"2024-03-28T19:46:10","slug":"wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/","title":{"rendered":"WP ERP <= 1.12.9 – Inyecci\u00f3n de SQL autenticada (Gestor de Contabilidad+)"},"content":{"rendered":"
La vulnerabilidad CVE-2024-0913 en el plugin WP ERP | Soluci\u00f3n completa de RRHH con reclutamiento y listados de trabajos | WooCommerce CRM y contabilidad para WordPress permite a atacantes autenticados realizar inyecciones de SQL basadas en tiempo a trav\u00e9s del endpoint de la API REST erp\/v1\/accounting\/v1\/transactions\/salidas en todas las versiones hasta, e incluyendo, 1.12.9. Esto se debe a un escape insuficiente en los par\u00e1metros de status y customer_id proporcionados por el usuario, as\u00ed como a la falta de preparaci\u00f3n suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con privilegios de gestor de contabilidad o admin y superiores, puedan agregar consultas SQL adicionales a las consultas existentes que se pueden utilizar para extraer informaci\u00f3n sensible de la base de datos.<\/div>\n

<\/p>\n

Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin WP ERP a la \u00faltima versi\u00f3n disponible, en este caso a la versi\u00f3n 1.12.10 o posterior, ya que el proveedor del plugin ha implementado medidas de seguridad para mitigar esta vulnerabilidad. Adem\u00e1s, se recomienda revisar y restringir los privilegios de los usuarios con roles de contabilidad y administrador para limitar el riesgo de explotaci\u00f3n. Mantener un firewall de aplicaciones web actualizado y realizar auditor\u00edas regulares de seguridad en el sitio web tambi\u00e9n son buenas pr\u00e1cticas para protegerse contra este tipo de ataques.<\/div>\n
La importancia de mantener los plugins de WordPress actualizados y de seguir buenas pr\u00e1cticas de seguridad no puede ser subestimada. La vulnerabilidad de inyecci\u00f3n de SQL en WP ERP pone de manifiesto la necesidad de una gesti\u00f3n proactiva de la seguridad en los sitios web para proteger la informaci\u00f3n confidencial de los usuarios y evitar posibles da\u00f1os a la reputaci\u00f3n de la empresa.<\/div>\n","protected":false},"excerpt":{"rendered":"

La vulnerabilidad CVE-2024-0913 en el plugin WP ERP | Soluci\u00f3n completa de RRHH con reclutamiento y listados de trabajos | WooCommerce CRM y contabilidad para WordPress permite a atacantes autenticados realizar inyecciones de SQL basadas en tiempo a trav\u00e9s del endpoint de la API REST erp\/v1\/accounting\/v1\/transactions\/salidas en todas las versiones hasta, e incluyendo, 1.12.9. Esto […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[1073],"class_list":["post-3362","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-0913"],"yoast_head":"\nWP ERP <= 1.12.9 - Inyecci\u00f3n de SQL autenticada (Gestor de Contabilidad+) - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"WP ERP <= 1.12.9 - Inyecci\u00f3n de SQL autenticada (Gestor de Contabilidad+) - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"La vulnerabilidad CVE-2024-0913 en el plugin WP ERP | Soluci\u00f3n completa de RRHH con reclutamiento y listados de trabajos | WooCommerce CRM y contabilidad para WordPress permite a atacantes autenticados realizar inyecciones de SQL basadas en tiempo a trav\u00e9s del endpoint de la API REST erp\/v1\/accounting\/v1\/transactions\/salidas en todas las versiones hasta, e incluyendo, 1.12.9. Esto […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-03-28T19:46:10+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"1 minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/\",\"url\":\"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/\",\"name\":\"WP ERP <= 1.12.9 - Inyecci\u00f3n de SQL autenticada (Gestor de Contabilidad+) - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-03-28T19:46:10+00:00\",\"dateModified\":\"2024-03-28T19:46:10+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"WP ERP <= 1.12.9 – Inyecci\u00f3n de SQL autenticada (Gestor de Contabilidad+)\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"WP ERP <= 1.12.9 - Inyecci\u00f3n de SQL autenticada (Gestor de Contabilidad+) - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/","og_locale":"en_US","og_type":"article","og_title":"WP ERP <= 1.12.9 - Inyecci\u00f3n de SQL autenticada (Gestor de Contabilidad+) - SeguridadWordPress.es","og_description":"La vulnerabilidad CVE-2024-0913 en el plugin WP ERP | Soluci\u00f3n completa de RRHH con reclutamiento y listados de trabajos | WooCommerce CRM y contabilidad para WordPress permite a atacantes autenticados realizar inyecciones de SQL basadas en tiempo a trav\u00e9s del endpoint de la API REST erp\/v1\/accounting\/v1\/transactions\/salidas en todas las versiones hasta, e incluyendo, 1.12.9. Esto […]","og_url":"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-03-28T19:46:10+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"1 minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/","url":"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/","name":"WP ERP <= 1.12.9 - Inyecci\u00f3n de SQL autenticada (Gestor de Contabilidad+) - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-03-28T19:46:10+00:00","dateModified":"2024-03-28T19:46:10+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/wp-erp-1-12-9-inyeccion-de-sql-autenticada-gestor-de-contabilidad\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"WP ERP <= 1.12.9 – Inyecci\u00f3n de SQL autenticada (Gestor de Contabilidad+)"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3362"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=3362"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3362\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=3362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=3362"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=3362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}