Se ha identificado una vulnerabilidad crítica en el plugin WordPress Auction Plugin desarrollado por Owen Cutajar y Hyder Jaffari, que podría comprometer la seguridad de los sistemas que utilizan esta herramienta. Este plugin, ampliamente utilizado para gestionar subastas en sitios web construidos con WordPress, presenta una falla de inyección SQL que permite a atacantes ejecutar comandos maliciosos en la base de datos.
- CVE-2024-51615 (CVSS: 9.3): El problema radica en la neutralización incorrecta o insuficiente de elementos especiales en las consultas SQL generadas a partir de entradas externas. Esto permite que las entradas controladas por el usuario sean interpretadas como comandos SQL, lo que podría derivar en accesos no autorizados, alteración de datos o interrupción del servicio.
Productos y versiones afectadas:
- WordPress Auction Plugin hasta la versión 3.7 inclusive.
Solución:
- Actualizar inmediatamente a una versión del plugin posterior a la 3.7.
Recomendaciones:
- Actualizar todos los plugins y componentes afectados a su última versión estable.
- Implementar controles de validación y sanitización de entradas en aplicaciones web para prevenir inyecciones SQL.
- Realizar auditorías periódicas de seguridad para identificar y corregir vulnerabilidades potenciales.
Referencias: