Advanced Booking Calendar <= 1.6.1 - Unauthenticated SQL Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin Advanced Booking Calendar, que afecta a las versiones hasta la 1.6.1. Esta vulnerabilidad permite a un atacante no autenticado ejecutar consultas SQL maliciosas en la base de datos del sitio.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de las entradas del usuario, lo que permite a un atacante manipular las consultas SQL ejecutadas por el plugin. Esto expone la base de datos a ataques que pueden comprometer la integridad y confidencialidad de los datos.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la pérdida de datos, la divulgación de información sensible y el control total sobre la base de datos del sitio. Esto puede tener repercusiones graves en la reputación de la empresa y en la confianza de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes HTTP maliciosas que incluyen parámetros manipulados, lo que les permite ejecutar comandos SQL arbitrarios sin necesidad de autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Advanced Booking Calendar a la versión 1.6.2 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como la validación de entradas y el uso de consultas preparadas.

Señales de detección

Señales de posible explotación incluyen registros de actividad inusual en la base de datos, como consultas SQL no reconocidas o errores de ejecución de SQL. También se deben monitorizar las solicitudes HTTP que contengan parámetros sospechosos.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.6.2 del plugin Advanced Booking Calendar. Se recomienda verificar las instalaciones para asegurar que no se está utilizando una versión vulnerable.