Se ha descubierto una vulnerabilidad con severidad crítica, misma que afecta al popular plugin de WordPress Email Subscribers by Icegram Express. La vulnerabilidad es identificada como CVE-2024-2876 y permite a los atacantes no autenticados inyectar código malicioso en sitios de WordPress que utilizan el plugin.
- CVE-2024-2876 (CVSS 9.8): Esta vulnerabilidad de SQL injection podría permitir a los atacantes extraer datos sensibles de la base de datos de WordPress. Estos datos podrían incluir nombres de usuario y direcciones de correo electrónico, hashes de contraseñas, listas de suscriptores e información específica del sitio web.
La vulnerabilidad existe en la función «run» dentro de la clase IG_ES_Subscribers_Query del plugin. Los atacantes pueden explotar esto manipulando la entrada del usuario, engañando efectivamente al plugin para que ejecute código SQL adicional no autorizado en la base de datos del sitio web.
Versiones afectadas:
- Todas las versiones del plugin Email Subscribers by Icegram Express hasta la 5.7.14 inclusive.
Solución:
Se insta a los propietarios de sitios web que utilizan el plugin «Email Subscribers by Icegram Express» a actualizar a la versión 5.7.15 o superior, donde se ha implementado el parche de seguridad mitigando la vulnerabilidad previamente descrita.
Recomendaciones:
- Implementar lo antes posible las últimas actualizaciones del plugin mencionado.
- Instalar plugins de seguridad para protegerse contra ataques como intentos de inyección SQL.
- Utilizar contraseñas fuertes y únicas para todos los usuarios de WordPress.
Referencias: