Booking calendar, Appointment Booking System <= 3.2.6 - Authenticated (Administrator+) SQL Injection via *_selected

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin 'Booking Calendar' para WordPress, que afecta a las versiones hasta la 3.2.6. Esta vulnerabilidad, que requiere autenticación de administrador, puede comprometer la seguridad de la base de datos del sitio.

Contexto técnico

La vulnerabilidad se manifiesta a través de una inyección SQL en parámetros seleccionados del plugin. Al manipular estos parámetros, un atacante autenticado podría ejecutar consultas SQL arbitrarias en la base de datos, lo que podría llevar a la exposición o modificación de datos sensibles.

Impacto potencial

El impacto de esta vulnerabilidad es alto, ya que permite a un atacante con privilegios de administrador acceder a información crítica y potencialmente comprometer la integridad del sistema. Esto puede resultar en pérdidas económicas y daños a la reputación del negocio.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad se realiza mediante la modificación de solicitudes HTTP enviadas al servidor, donde se incluyen los parámetros vulnerables. Esto requiere que el atacante tenga acceso a una cuenta de administrador en el sitio.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin 'Booking Calendar' a la versión 3.2.7 o superior. Además, es aconsejable revisar los registros de acceso y las actividades de los usuarios con privilegios de administrador para detectar posibles abusos.

Señales de detección

Las señales de posible explotación incluyen cambios inusuales en la base de datos, registros de acceso no autorizados a la administración y actividad sospechosa en las consultas SQL.

Alcance afectado

Las versiones del plugin 'Booking Calendar' hasta la 3.2.6 están afectadas. Se recomienda a los usuarios verificar la versión instalada y realizar la actualización correspondiente.