El desarrollador VibeThemes ha informado sobre una vulnerabilidad crítica en el plugin WPLMS para WordPress. Este fallo permite a atacantes no autenticados explotar una inyección SQL, comprometiendo la integridad y confidencialidad de los sistemas afectados.
- CVE-2024-56042 (CVSS 9.3): La vulnerabilidad se debe a una neutralización inadecuada de elementos especiales utilizados en comandos SQL. Un atacante remoto puede aprovechar este fallo para ejecutar consultas SQL arbitrarias, exponiendo a riesgos como la manipulación o exfiltración de información de las bases de datos.
Productos y versiones afectadas:
- Versiones anteriores a la 1.9.9.5.3 del plugin WPLMS.
Solución:
- Actualizar a la versión 1.9.9.5.3 o posterior.
Recomendaciones:
- Actualizar a la última versión disponible del plugin para asegurar la mitigación del problema.
- Supervisar los registros de actividad del servidor para identificar posibles intentos de explotación.
- Implementar procedimientos para la actualización periódica de plugins, temas y componentes críticos del sistema.
Referencias: