El plugin Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress para WordPress es vulnerable a Inyección SQL a través del atributo shortcode order_by en todas las versiones hasta, e incluyendo, 1.2.5 debido a un escape insuficiente en el parámetro suministrado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, agregar consultas SQL adicionales en consultas existentes que pueden utilizarse para extraer información sensible de la base de datos.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin Youzify a la última versión disponible lo antes posible para mitigar este riesgo. Además, se recomienda restringir el acceso de los usuarios con roles de Contributor y superior para reducir la posibilidad de que un atacante aproveche esta vulnerabilidad. También es importante recordar a los usuarios la importancia de utilizar contraseñas seguras y únicas para sus cuentas para evitar compromisos de seguridad.
La Inyección SQL es una vulnerabilidad seria que puede poner en peligro la seguridad de un sitio web. Actuar rápidamente para parchear esta vulnerabilidad en el plugin Youzify y seguir buenas prácticas de seguridad puede ayudar a proteger los datos sensibles de los usuarios y mantener la integridad del sitio.