El plugin wpDataTables – WordPress Data Table, Dynamic Tables & Table Charts para WordPress es vulnerable a Inyección SQL a través del parámetro ‘id_key’ de la acción AJAX wdt_delete_table_row en todas las versiones hasta, e incluyendo, la versión 6.3.1 debido a la falta de escape en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes que pueden utilizarse para extraer información sensible de la base de datos. Por favor, ten en cuenta que esto solo afecta a la versión premium del plugin.
Los usuarios afectados por esta vulnerabilidad pueden tomar medidas para mitigar el riesgo de ser atacados. Se recomienda actualizar el plugin a la versión más reciente disponible que contenga una solución para este problema. Además, se sugiere restringir el acceso al panel de administración del WordPress y a los archivos relacionados con este plugin solo a usuarios autorizados. Realizar copias de seguridad periódicas de la base de datos puede ayudar a recuperar la información en caso de una explotación exitosa de la vulnerabilidad.
Es crucial mantener todos los plugins y temas de WordPress actualizados para proteger tu sitio web de posibles vulnerabilidades de seguridad. Ante cualquier indicio de actividad maliciosa o comportamiento inusual en tu sitio, es recomendable investigar y tomar medidas correctivas de inmediato para garantizar la integridad y seguridad de tus datos.