Resumen ejecutivo
Se ha identificado una vulnerabilidad de inyección SQL en el plugin Email Log, que afecta a las versiones hasta la 2.4.6. Esta falla permite a un atacante ejecutar consultas SQL maliciosas, comprometiendo la seguridad del sitio.
Fuente base de datos: Wordfence Intelligence
Email Log <= 2.4.6 - Admin+ SQL Injection (inyeccion SQL) - version 2.4.7
PLUGIN
HIGH
CVE-2021-24758
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se presenta en el manejo de entradas en el plugin Email Log, permitiendo que un atacante no autenticado envíe peticiones que manipulen las consultas SQL. Esto se traduce en una posible exposición de datos sensibles y alteración de la base de datos del sitio.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, ya que permite el acceso no autorizado a información crítica del sistema, lo que podría llevar a la pérdida de datos, alteraciones en la funcionalidad del sitio y daños a la reputación de la organización.
Vector de explotación
Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas que incluyen código SQL malicioso, lo que les permite ejecutar comandos no autorizados en la base de datos.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Email Log a la versión 2.4.7 o superior. Además, se sugiere revisar y fortalecer las configuraciones de seguridad del servidor y aplicar buenas prácticas de validación de entradas.
Señales de detección
Se deben monitorizar registros de acceso y errores en el servidor para detectar patrones inusuales de solicitudes que puedan indicar intentos de explotación de la vulnerabilidad.
Alcance afectado
Las versiones del plugin Email Log desde la 2.4.6 y anteriores están afectadas. Es crucial que los administradores de sitios que utilicen este plugin verifiquen su versión.
Vulnerabilidades relacionadas
HIGH
PLUGIN
creative-mail-by-constant-contact
Creative Mail – Easier WordPress & WooCommerce Email Marketing <= 1.6.9 - Unauthenticated SQL Injection via 'checkout_uuid' Parameter
MEDIUM
PLUGIN
infility-global
Infility Global <= 2.15.16 - Authenticated (Subscriber+) SQL Injection via 'orderby' Parameter
MEDIUM
PLUGIN
expand-maker
Read More & Accordion <= 3.5.7 - Authenticated (Administrator+) SQL Injection via 'orderby' Parameter
HIGH
PLUGIN
boost
Boost <= 2.0.3 - Unauthenticated Blind SQL Injection via Multiple Parameters
HIGH
PLUGIN
contest-gallery
Contest Gallery <= 28.1.6 - Unauthenticated SQL Injection
HIGH
PLUGIN
wpdirectorykit
WP Directory Kit <= 1.5.1 - Unauthenticated SQL Injection
MEDIUM
PLUGIN
nex-forms-express-wp-form-builder
NEX-Forms – Ultimate Forms Plugin for WordPress <= 9.1.12 - Authenticated (Administrator+) SQL Injection via 'table' Parameter
MEDIUM
PLUGIN
unlimited-elements-for-elementor
Unlimited Elements For Elementor <= 2.0.7 - Authenticated (Contributor+) SQL Injection via 'filter_search' Parameter
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto