esenfrdeitptru

Fallo en WP Statistics permite explotar una vulnerabilidad de SQLi

AS-015-2022

Fecha:15/Feb/2022

Resumen:

Con CVE-2022-0513, y un puntaje de 9.8 (Crítico), se reporta un fallo de inyección de SQL, sin necesidad de autenticación, en el componente WP Statistics desarrollado por VeronaLabs.

El plugin de WordPress pse encuentra instalado en cerca de  600.000 sitios. El fallo permite que atacantes remotos ejecuten consultas SQL arbitrarias, con el fin de extraer información sensible como llaves secretas y hashes de passwords.

La vulnerabilidad fue reportada por Cyku Hong de DEVCORE, y se determinó que afecta a las versiones <=13.1.4 del plugin. El desarrollador ya publicó un parche disponible en la versión 13.1.5, por lo que se recomienda su actualización inmediata.

Referencia:

https://www.wordfence.com/blog/2022/02/unauthenticated-sql-injection-vulnerability-patched-in-wordpress-statistics-plugin