La vulnerabilidad de Inyección de SQL en el plugin wpForo Forum para WordPress permite a atacantes autenticados con nivel de acceso de colaborador y superior, agregar consultas SQL adicionales a consultas existentes para extraer información sensible de la base de datos.
La versión vulnerable del plugin es la 2.3.3 y anteriores. La vulnerabilidad se produce a través del atributo ‘slug’ del shortcode ‘wpforo’ debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la versión más reciente del plugin, en este caso, la versión 2.3.4 o superior. Además, se pueden implementar medidas adicionales de seguridad, como limitar el acceso de los colaboradores y revisar el código personalizado que interactúa con la base de datos para detectar posibles vulnerabilidades de inyección de SQL.
Es fundamental que los administradores de sitios web que utilizan el plugin wpForo Forum para WordPress estén al tanto de esta vulnerabilidad y tomen medidas inmediatas para proteger sus datos. La actualización del plugin a la versión más reciente y la implementación de buenas prácticas de seguridad son pasos clave para mitigar el riesgo de Inyección de SQL.