El plugin Events Manager para WordPress, utilizado por más de 80,000 sitios, presenta una vulnerabilidad que permite a atacantes no autenticados comprometer datos sensibles de la base de datos.
- CVE-2024-11260 (CVSS 7.5): Esta falla permite a atacantes no autenticados realizar una inyección SQL a través del parámetro «active_status«, insertando comandos adicionales que facilitan la extracción de información confidencial de la base de datos debido a una neutralización inadecuada de elementos especiales.
Productos y versiones afectadas:
- Versiones anteriores a la 6.6.4 del plugin Events Manager – Calendar, Bookings, Tickets, and more!
Solución:
- Actualizar a la versión 6.6.4 o superior.
Recomendaciones:
- Actualizar inmediatamente el plugin a la última versión disponible para mitigar el riesgo de explotación.
- Revisar los registros de la base de datos para detectar posibles intentos de explotación previos a la actualización.
- Implementar una política de seguridad que incluya revisiones periódicas de plugins de WordPress para garantizar su actualización y protección contra vulnerabilidades conocidas.
Referencias: