Resumen ejecutivo
Se ha identificado una vulnerabilidad de inyección SQL en el plugin SMTP Mail hasta la versión 1.2.1, con una severidad alta que podría comprometer la seguridad de las instalaciones afectadas. La versión 1.2.2 corrige este fallo.
Fuente base de datos: Wordfence Intelligence
SMTP Mail <= 1.2.1 - SQL Injection (inyeccion SQL) - version 1.2.2
PLUGIN
HIGH
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se encuentra en la forma en que el plugin SMTP Mail gestiona las entradas de datos, permitiendo a un atacante ejecutar consultas SQL maliciosas. Esto representa una superficie de ataque significativa, especialmente en entornos donde el plugin tiene acceso a bases de datos críticas.
Impacto potencial
Un ataque exitoso podría permitir a un atacante acceder, modificar o eliminar datos en la base de datos del sitio, lo que podría resultar en la pérdida de información sensible y afectar la integridad del negocio.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes especialmente diseñadas que manipulan las consultas SQL, lo que les permite ejecutar comandos no autorizados en la base de datos.
Mitigación recomendada
Se recomienda actualizar el plugin SMTP Mail a la versión 1.2.2 o superior para mitigar esta vulnerabilidad. Además, se sugiere implementar medidas de seguridad adicionales, como la validación de entradas y el uso de consultas parametrizadas.
Señales de detección
Señales de riesgo incluyen registros de errores de base de datos anómalos, intentos de acceso no autorizados y patrones de tráfico inusuales en las solicitudes que interactúan con el plugin SMTP Mail.
Alcance afectado
Las versiones del plugin SMTP Mail hasta la 1.2.1 son vulnerables. Las instalaciones que no han actualizado a la versión 1.2.2 o superior están en riesgo.
Vulnerabilidades relacionadas
HIGH
PLUGIN
creative-mail-by-constant-contact
Creative Mail – Easier WordPress & WooCommerce Email Marketing <= 1.6.9 - Unauthenticated SQL Injection via 'checkout_uuid' Parameter
MEDIUM
PLUGIN
infility-global
Infility Global <= 2.15.16 - Authenticated (Subscriber+) SQL Injection via 'orderby' Parameter
MEDIUM
PLUGIN
expand-maker
Read More & Accordion <= 3.5.7 - Authenticated (Administrator+) SQL Injection via 'orderby' Parameter
HIGH
PLUGIN
boost
Boost <= 2.0.3 - Unauthenticated Blind SQL Injection via Multiple Parameters
HIGH
PLUGIN
contest-gallery
Contest Gallery <= 28.1.6 - Unauthenticated SQL Injection
HIGH
PLUGIN
wpdirectorykit
WP Directory Kit <= 1.5.1 - Unauthenticated SQL Injection
MEDIUM
PLUGIN
nex-forms-express-wp-form-builder
NEX-Forms – Ultimate Forms Plugin for WordPress <= 9.1.12 - Authenticated (Administrator+) SQL Injection via 'table' Parameter
MEDIUM
PLUGIN
unlimited-elements-for-elementor
Unlimited Elements For Elementor <= 2.0.7 - Authenticated (Contributor+) SQL Injection via 'filter_search' Parameter
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto