El plugin Video Gallery – Mejor Plugin de Galería de YouTube para WordPress es vulnerable a Inyección SQL basada en tiempo a través del parámetro orderby en todas las versiones hasta, e incluyendo, la 2.4.2 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, agregar consultas SQL adicionales a consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
La Inyección SQL es una vulnerabilidad común en aplicaciones web que puede permitir a un atacante manipular consultas SQL de una aplicación. En el caso de esta vulnerabilidad en el plugin Video Gallery, un atacante autenticado como Administrador o superior podría aprovechar esta vulnerabilidad para extraer información confidencial de la base de datos del sitio web afectado. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se sugiere a los administradores de sitios web seguir las mejores prácticas de seguridad, como limitar el acceso de los roles de usuario y realizar copias de seguridad regulares de la base de datos para mitigar el impacto de posibles ataques.
Es crucial para los administradores de sitios web mantener sus plugins de WordPress actualizados para proteger sus sitios de potenciales vulnerabilidades de seguridad. Mantenerse al día con las actualizaciones de los plugins, seguir las mejores prácticas de seguridad y realizar auditorías regulares de seguridad son pasos importantes para garantizar la protección de la información del sitio y de sus usuarios.