La vulnerabilidad CVE-2024-11260 permite a atacantes no autenticados ejecutar ataques de inyección SQL, comprometiendo la seguridad de los sistemas afectados.
La vulnerabilidad CVE-2024-11260 con una puntuación CVSS de 7.5 [2] permite a atacantes no autenticados realizar una inyección SQL a través del parámetro «active_status«, insertando comandos adicionales que facilitan la extracción de información confidencial de la base de datos debido a una neutralización inadecuada de elementos especiales.
Productos y versiones afectadas
Versiones anteriores a la 6.6.4 del plugin Events Manager – Calendar, Bookings, Tickets, and more.
Solución
Actualizar a la versión 6.6.4 o superior.
Recomendaciones
- Actualizar inmediatamente el plugin a la última versión disponible para mitigar el riesgo de explotación.
- Revisar los registros de la base de datos para detectar posibles intentos de explotación previos a la actualización.
- Implementar una política de seguridad que incluya revisiones periódicas de plugins de WordPress para garantizar su actualización y protección contra vulnerabilidades conocidas.
[1] [En línea]. Available: https://blog.servicioshosting.com/2017/07/11/que-es-wordpress/.
[2] «Wordfence,» [En línea]. Available: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/events-manager/events-manager-calendar-bookings-tickets-and-more-663-unauthenticated-sql-injection-via-event-status-parameter.
