Vulnerabilidad Crítica en Plugin wpDataTables para WordPress

Se ha descubierto una vulnerabilidad crítica en wpDataTables, un plugin de WordPress ampliamente utilizado para crear tablas y gráficos. La falla, identificada como CVE-2024-3820 podría permitir a los atacantes inyectar código SQL malicioso y potencialmente obtener acceso no autorizado a datos sensibles en sitios de WordPress que utilizan la versión premium del plugin.

CVE-2024-3820 (CVSS 10): Esta vulnerabilidad surge de una validación insuficiente de entradas y una desinfección inadecuada de los datos suministrados por el usuario dentro del parámetro «id_key» de la acción AJAX «wdt_delete_table_row». Este descuido permite a los atacantes crear consultas SQL maliciosas, eludiendo las medidas de seguridad y extrayendo o manipulando datos de la base de datos subyacente, volviendo al plugin susceptible a ataques de inyección SQL.

Versiones afectadas:

  • Todas las versiones de wpDataTables hasta la 6.3.1 inclusive.

Solución:

      • Los desarrolladores del plugin han lanzado una versión parcheada, 6.3.2, y solicitan a todos los usuarios a actualizar inmediatamente para mitigar los riesgos asociados.

      Recomendaciones:

      • Actualizar a la versión 6.3.2 de wpDataTables inmediatamente.
      • Implementar medidas de seguridad adicionales, como el uso de firewalls para aplicaciones web (WAF).
      • Monitorear regularmente los sitios web en busca de actividades sospechosas y realizar auditorías de seguridad periódicas.

      Referencias:

      Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces: