Se ha identificado una vulnerabilidad crítica en el popular plugin de WordPress «The Events Calendar». Esta falla, que permitiría ataques de inyección SQL.
Productos afectados
- Plugin «The Events Calendar» todas las versiones hasta la 6.6.4 inclusive.
Impacto
La vulnerabilidad se identifica como CVE-2024-8275: con una puntuación CVSS de 9,8 con severidad crítica. El complemento The Events Calendar para WordPress es vulnerable a la inyección SQL a través del parámetro ‘order’ de la función ‘tribe_has_next_event’ en todas las versiones hasta la 6.6.4 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario ya la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos. Solo los sitios que hayan agregado manualmente tribe_has_next_event() serán vulnerables a esta inyección SQL.
Recomendación
Actualizar a la versión más reciente con los parches correspondientes del producto afectado, disponible para su descarga en la página oficial del fabricante.
Referencia:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/the-events-calendar/the-events-calendar-664-unauthenticated-sql-injection
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/the-events-calendar/the-events-calendar-664-unauthenticated-sql-injection
https://nvd.nist.gov/vuln/detail/CVE-2024-8275