Se ha reportado sobre una vulnerabilidad de Inyección SQL de alto riesgo en el plugin Automatic de WordPress. La explotación exitosa de esta vulnerabilidad por parte de un actor malicioso, podría permitir interactuar directamente con la base de datos del sitio web, incluyendo el robo de información.
Productos o Ítems Afectados
- Plugin Automatic de WordPress, <= 3.92.0
Impacto de la Vulnerabilidad
Se ha asignado como identificador CVE-2024-27956 a la vulnerabilidad del tipo “neutralización Inadecuada de caracteres especiales”, un actor malicioso podría enviar comandos con sentencias SQL específicas (SQLi) a la función ValvePress del plugin Automatic, la explotación exitosa de esta falla le permitiría realizar una inyección SQL(SQLi) en el sitio afectado. Se ha asignado una puntuación de 9.9 en CVSSv3 con una severidad crítica.
Recomendaciones
Actualice el plugin Automatic a la versión 3.92.1 o superior para eliminar la vulnerabilidad.
Enlaces de Referencia
- https://patchstack.com/database/vulnerability/wp-automatic/wordpress-automatic-plugin-3-92-0-unauthenticated-arbitrary-sql-execution-vulnerability?_s_id=cve
- https://nvd.nist.gov/vuln/detail/CVE-2024-27956
- https://hackhunting.com/2024/04/25/cve-2024-27956-5576488-exploitation-attempts-made-by-hackers/#/