Se ha detectado una vulnerabilidad de inyección de SQL en un plugin utilizado por más de 300.000 sitios WordPress, que en caso de ser explotada, daría a los atacantes la posibilidad de robar las bases de datos para obtener datos sensibles y secuestrar los sitios web a través de accesos no autorizados.
Siendo más concretos, la vulnerabilidad ha sido hallada en el popular plugin WP Statistics, que permite a los administradores de un sitio WordPress obtener información detallada sobre la cantidad de usuarios online, la cantidad de visitantes y estadísticas sobre las páginas.
Descubierta por Sucuri, la vulnerabilidad de inyección de SQL hallada en el plugin WP Statistics reside en múltiples funciones, incluida la wp_statistics_searchengine_query(). Su origen está en la falta de saneamiento de los datos suministrados por el usuario. Según Sucuri, “algunos atributos del shortcode de WP Statistics están siendo pasados como parámetros para importantes funciones. Esto no tendría que ser un problema si esos parámetros son saneados.”
La función wp_statistics_searchengine_query() no comprueba privilegios adicionales, lo que permite a los suscriptores de un sitios web ejecutar el shortcode e inyectar código malicioso a sus atributos. Sucuri decidió reportar de forma privada la vulnerabilidad a los desarrolladores de WP Statistics, que la parchearon en la versión 12.0.8 del plugin.
Se recomienda encarecidamente actualizar el plugin a una versión igual o posterior a la mencionada en el párrafo anterior, sobre todo si el sitio web permite el registro de usuarios.