Fuente base de datos: Wordfence Intelligence

Contest Gallery <= 19.1.4.1 - Authenticated (Author+) SQL Injection via cg_copy_id

PLUGIN HIGH CVE-2022-4160

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Contest Gallery, que afecta a las versiones hasta la 19.1.4.1. Esta vulnerabilidad permite a usuarios autenticados con rol de autor o superior ejecutar consultas SQL maliciosas en la base de datos del sitio.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas del usuario a través del parámetro 'cg_copy_id'. Al no validar adecuadamente estas entradas, un atacante puede manipular las consultas SQL, lo que podría llevar a la exposición o modificación de datos sensibles.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede ser significativo, ya que permite a un atacante autenticado acceder a datos que no debería poder ver o modificar, comprometiendo así la integridad y confidencialidad de la información almacenada en la base de datos del sitio web.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se lleva a cabo mediante la manipulación de solicitudes HTTP que contienen el parámetro 'cg_copy_id', permitiendo al atacante ejecutar comandos SQL arbitrarios.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Contest Gallery a la versión 19.1.5 o superior. Además, se debe realizar una revisión de los permisos de usuario y aplicar prácticas de validación de entrada más estrictas.

Señales de detección

Las señales de posible explotación incluyen registros de errores en la base de datos que indican consultas SQL fallidas o inusuales, así como patrones de tráfico sospechosos que intentan acceder al parámetro 'cg_copy_id'.

Alcance afectado

Las versiones del plugin Contest Gallery hasta la 19.1.4.1 están afectadas. Es crucial verificar las instalaciones para asegurar que estén actualizadas.

Vulnerabilidades relacionadas

HIGH PLUGIN

contest-gallery

Contest Gallery <= 28.1.4 - Unauthenticated SQL Injection

MEDIUM PLUGIN

contest-gallery

Contest Gallery <= 25.1.0 - Authenticated (Author+) SQL Injection

CRITICAL PLUGIN

contest-gallery

Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal, Social Share Buttons <= 24.0.3 - Unauthenticated SQL Injection

CRITICAL PLUGIN

contest-gallery

Photos and Files Contest Gallery <= 21.3.2 - Authenticated (Contributor+) SQL Injection

CRITICAL PLUGIN

contest-gallery

Photos and Files Contest Gallery <= 21.3.4 - Authenticated (Contributor+) SQL Injection

HIGH PLUGIN

contest-gallery

Contest Gallery <= 19.1.5 - Authenticated (Author+) SQL Injection via upload[]

HIGH PLUGIN

contest-gallery

Contest Gallery <= 19.1.4.1 - Authenticated (Author+) SQL Injection via cg_order

HIGH PLUGIN

contest-gallery

Contest Gallery <= 19.1.4.1 - Unauthenticated SQL Injection via cg_Fields

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto