Fallo en WP Statistics permite explotar una vulnerabilidad de SQLi
AS-015-2022
Fecha:15/Feb/2022
Resumen:
Con CVE-2022-0513, y un puntaje de 9.8 (Crítico), se reporta un fallo de inyección de SQL, sin necesidad de autenticación, en el componente WP Statistics desarrollado por VeronaLabs.
El plugin de WordPress pse encuentra instalado en cerca de 600.000 sitios. El fallo permite que atacantes remotos ejecuten consultas SQL arbitrarias, con el fin de extraer información sensible como llaves secretas y hashes de passwords.
La vulnerabilidad fue reportada por Cyku Hong de DEVCORE, y se determinó que afecta a las versiones <=13.1.4 del plugin. El desarrollador ya publicó un parche disponible en la versión 13.1.5, por lo que se recomienda su actualización inmediata.
Referencia: