Vulnerabilidad de inyección SQL en plugin de WordPress 

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin Ultimate CSV Importer de WordPress, que permitiría a un atacante remoto realizar inyección de código SQL en el sistema afectado. 

La vulnerabilidad identificada como CVE-2022-3243, de severidad “alta”, con una puntuación asignada de 8.2. Esta vulnerabilidad se debe a que el plugin no realiza un saneamiento correcto de los datos importados. Esto permitiría a un atacante remoto realizar inyección de código SQL (SQLi) en el sistema afectado. 

Las versiones afectadas son: 

• Ultimate CSV Importer, versión 6.5.7 y anteriores. 

Recomendamos acceder a las actualizaciones correspondientes provistas por WordPress en el siguiente enlace: 

• https://downloads.wordpress.org/plugin/wp-ultimate-csv-importer.6.5.8.zip 

Referencias: 

• https://patchstack.com/database/vulnerability/wp-ultimate-csv-importer/wordpress-import-all-xml-csv-txt-plugin-6-5-7-authenticated-sql-injection-sqli-vulnerability 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3243 
• https://downloads.wordpress.org/plugin/wp-ultimate-csv-importer.6.5.8.zip