Fuente base de datos: Wordfence Intelligence

Email Subscribers & Newsletters <= 4.1.7 - SQL Injection

PLUGIN CRITICAL CVE-2019-13569

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Una vulnerabilidad crítica de inyección SQL ha sido identificada en el plugin 'Email Subscribers & Newsletters' en versiones hasta la 4.1.7. Esta falla puede permitir a un atacante ejecutar consultas SQL maliciosas en la base de datos del sitio afectado.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas del usuario, permitiendo la inyección de código SQL. Esto afecta a la superficie de ataque, ya que un atacante puede manipular las consultas a la base de datos, comprometiendo la integridad de los datos.

Impacto potencial

El impacto potencial incluye la exposición de datos sensibles, alteración de la base de datos y, en última instancia, la posibilidad de tomar control del sitio. Esto puede resultar en daños a la reputación y pérdidas económicas para el negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad mediante la inyección de payloads SQL a través de formularios o parámetros de URL que no están debidamente validados.

Mitigación recomendada

Actualizar el plugin 'Email Subscribers & Newsletters' a la versión 4.1.8 o posterior. Además, se recomienda revisar las configuraciones de seguridad y aplicar medidas de hardening en la base de datos.

Señales de detección

Señales de riesgo incluyen registros de errores SQL en el servidor, actividad inusual en las consultas a la base de datos y intentos de acceso no autorizados a través de formularios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.1.8 del plugin 'Email Subscribers & Newsletters'.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

email-subscribers

Email Subscribers & Newsletters <= 5.9.16 - Authenticated (Administrator+) SQL Injection via 'workflow_ids' Parameter

MEDIUM PLUGIN

email-subscribers

Email Subscribers by Icegram Express – Affordable, Powerful Email Marketing for WordPress & WooCommerce <= 5.7.43 - Authenticated (Admin+) SQL Injection

CRITICAL PLUGIN

email-subscribers

Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce <= 5.7.25 - Unauthenticated SQL Injection via unsubscribe

CRITICAL PLUGIN

email-subscribers

Icegram Express - Email Subscribers, Newsletters and Marketing Automation Plugin <= 5.7.23 - Unauthenticated SQL Injection via optin

HIGH PLUGIN

email-subscribers

Icegram Express <= 5.7.22 - Authenticated (Subscriber+) SQL Injection Vulnerability via options[list_id]

CRITICAL PLUGIN

email-subscribers

Email Subscribers by Icegram Express <= 5.7.20 - Unauthenticated SQL Injection via hash

CRITICAL PLUGIN

email-subscribers

Icegram Express - Email Subscribers, Newsletters and Marketing Automation Plugin <= 5.7.14 - Unauthenticated SQL Injection

HIGH PLUGIN

email-subscribers

Icegram Express <= 5.4.19 - Authenticated (Subscriber+) SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto