Advanced Database Cleaner <= 3.0.1 - SQL injection

Resumen ejecutivo

La vulnerabilidad identificada en el plugin Advanced Database Cleaner hasta la versión 3.0.1 permite la inyección de SQL, lo que representa un riesgo alto para la seguridad de las instalaciones afectadas. Esta falla fue publicada el 6 de septiembre de 2020 y tiene un CVSS de 7.2.

Contexto técnico

El fallo se origina en la forma en que el plugin gestiona las entradas de los usuarios, permitiendo que se inyecten consultas SQL maliciosas. Esto puede afectar a la base de datos del sitio, comprometiendo la integridad y confidencialidad de la información almacenada.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la pérdida de datos, alteración de la base de datos y posible acceso no autorizado a información sensible. Esto puede tener repercusiones graves en la reputación del negocio y en la confianza de los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes manipuladas a través de formularios o parámetros de URL, lo que les permite ejecutar consultas SQL arbitrarias en la base de datos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Advanced Database Cleaner a la versión 3.0.2 o superior. Además, es aconsejable implementar medidas de seguridad adicionales, como la validación de entradas y el uso de consultas preparadas.

Señales de detección

Señales de riesgo incluyen registros de actividad inusual en la base de datos, intentos de inyección SQL en los logs del servidor y cambios inesperados en el contenido de la base de datos.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.0.2 del plugin Advanced Database Cleaner.