Se ha descubierto una vulnerabilidad crítica en wpDataTables, un plugin de WordPress ampliamente utilizado para crear tablas y gráficos. La falla, identificada como CVE-2024-3820 podría permitir a los atacantes inyectar código SQL malicioso y potencialmente obtener acceso no autorizado a datos sensibles en sitios de WordPress que utilizan la versión premium del plugin.
CVE-2024-3820 (CVSS 10): Esta vulnerabilidad surge de una validación insuficiente de entradas y una desinfección inadecuada de los datos suministrados por el usuario dentro del parámetro «id_key» de la acción AJAX «wdt_delete_table_row». Este descuido permite a los atacantes crear consultas SQL maliciosas, eludiendo las medidas de seguridad y extrayendo o manipulando datos de la base de datos subyacente, volviendo al plugin susceptible a ataques de inyección SQL.
Versiones afectadas:
- Todas las versiones de wpDataTables hasta la 6.3.1 inclusive.
Solución:
- Los desarrolladores del plugin han lanzado una versión parcheada, 6.3.2, y solicitan a todos los usuarios a actualizar inmediatamente para mitigar los riesgos asociados.
Recomendaciones:
- Actualizar a la versión 6.3.2 de wpDataTables inmediatamente.
- Implementar medidas de seguridad adicionales, como el uso de firewalls para aplicaciones web (WAF).
- Monitorear regularmente los sitios web en busca de actividades sospechosas y realizar auditorías de seguridad periódicas.
Referencias:
Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces: