Resumen ejecutivo
Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin WP-Polls, que afecta a las versiones hasta la 2.71. Esta falla puede comprometer gravemente la seguridad de las instalaciones afectadas.
Fuente base de datos: Wordfence Intelligence
WP-Polls <= 2.71 - SQL Injection en WP Polls (inyeccion SQL) - version 2.72
PLUGIN
CRITICAL
CVE-2015-9352
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad permite a un atacante ejecutar consultas SQL maliciosas a través de entradas no validadas, lo que puede llevar a la extracción de información sensible de la base de datos. La superficie de ataque se amplía debido a la falta de sanitización en los parámetros de entrada.
Impacto potencial
El impacto potencial incluye la exposición de datos confidenciales, la manipulación de la base de datos y la posibilidad de tomar el control total de la instalación de WordPress. Esto puede resultar en daños a la reputación y pérdidas económicas para los negocios afectados.
Vector de explotación
Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes específicamente diseñadas que aprovechan los puntos débiles en el manejo de las entradas del plugin, facilitando así la ejecución de comandos SQL no autorizados.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WP-Polls a la versión 2.72 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como el uso de un firewall de aplicaciones web y la validación de entradas.
Señales de detección
Señales de posible explotación incluyen registros de actividad inusual en la base de datos, intentos de acceso no autorizados a través de las entradas del plugin y alertas de seguridad generadas por herramientas de monitoreo.
Alcance afectado
Las versiones del plugin WP-Polls hasta la 2.71 están afectadas por esta vulnerabilidad. Es crucial verificar las instalaciones para asegurar que no se esté utilizando una versión vulnerable.
Vulnerabilidades relacionadas
HIGH
PLUGIN
creative-mail-by-constant-contact
Creative Mail – Easier WordPress & WooCommerce Email Marketing <= 1.6.9 - Unauthenticated SQL Injection via 'checkout_uuid' Parameter
MEDIUM
PLUGIN
infility-global
Infility Global <= 2.15.16 - Authenticated (Subscriber+) SQL Injection via 'orderby' Parameter
MEDIUM
PLUGIN
expand-maker
Read More & Accordion <= 3.5.7 - Authenticated (Administrator+) SQL Injection via 'orderby' Parameter
HIGH
PLUGIN
boost
Boost <= 2.0.3 - Unauthenticated Blind SQL Injection via Multiple Parameters
HIGH
PLUGIN
contest-gallery
Contest Gallery <= 28.1.6 - Unauthenticated SQL Injection
HIGH
PLUGIN
wpdirectorykit
WP Directory Kit <= 1.5.1 - Unauthenticated SQL Injection
MEDIUM
PLUGIN
nex-forms-express-wp-form-builder
NEX-Forms – Ultimate Forms Plugin for WordPress <= 9.1.12 - Authenticated (Administrator+) SQL Injection via 'table' Parameter
MEDIUM
PLUGIN
unlimited-elements-for-elementor
Unlimited Elements For Elementor <= 2.0.7 - Authenticated (Contributor+) SQL Injection via 'filter_search' Parameter
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto