En este reporte de seguridad se ha identificado una vulnerabilidad en el plugin WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc para WordPress. Esta vulnerabilidad permite la inyección de SQL a través del parámetro ‘group_id’, lo que puede dar lugar a la ejecución de código JavaScript malicioso en el navegador de los usuarios. En este artículo se presentarán las soluciones que los usuarios pueden aplicar para evitar esta vulnerabilidad.
El plugin WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc ha sido encontrado vulnerable a la inyección de SQL en la versión 6.5 y anteriores. Esta vulnerabilidad se debe a una falta de escapado adecuado en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Como resultado, los atacantes autenticados con acceso de nivel de contribuidor o superior pueden agregar consultas SQL adicionales a las consultas existentes, lo que les permite extraer información confidencial de la base de datos. Esta vulnerabilidad también puede ser aprovechada para lograr Cross-site Scripting Reflejado, permitiendo a los atacantes ejecutar código JavaScript malicioso en los navegadores de los usuarios. Para protegerse contra esta vulnerabilidad, se recomienda a los usuarios aplicar las siguientes soluciones:
En este reporte de seguridad se ha descubierto una vulnerabilidad de inyección de SQL y Cross-Site Scripting Reflejado en el plugin WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc. Los usuarios que utilicen este plugin deben aplicar las soluciones mencionadas anteriormente para mitigar los riesgos y proteger sus sitios web. Además, se recomienda estar atentos a las actualizaciones del plugin y aplicarlas tan pronto estén disponibles para garantizar la seguridad de sus sitios web.