El plugin Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal, Social Share Buttons para WordPress, utilizado para diversas funcionalidades como carga, votación y venta de contenido mediante botones de compartición social, ha sido identificado con una vulnerabilidad crítica de inyección SQL. Esta falla de seguridad permite a atacantes no autenticados explotar consultas SQL mal preparadas para acceder a información sensible en la base de datos.
- CVE-2024-10687 (CVSS: 9.8): El plugin es vulnerable a una inyección SQL basada en tiempo a través del parámetro $collectedIds. La falta de escape adecuado en este parámetro y la preparación insuficiente de la consulta SQL existente permite a los atacantes no autenticados anexar consultas SQL adicionales, exponiendo información sensible. La vulnerabilidad ha sido publicada públicamente el 4 de noviembre de 2024 y actualizada el 5 de noviembre de 2024.
Productos y versiones afectadas:
Plugin Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal, Social Share Buttons
- Versiones menores o iguales a 24.0.3.
Solución:
- Actualizar el plugin a la versión 24.0.4 o una versión posterior que contenga el parche de seguridad correspondiente.
Recomendaciones:
- Realizar la actualización inmediata del plugin a la versión 24.0.4 o superior para proteger contra vulnerabilidades críticas.
- Implementar un monitoreo regular de los plugins instalados y sus actualizaciones de seguridad.
- Asegurar que solo se utilicen plugins de fuentes verificadas y que cuenten con un historial de actualizaciones frecuentes.
Referencias: