Multiple Page Generator Plugin – MPG <= 3.3.19 - Authenticated (Administrator+) SQL Injection in projects_list and total_projects

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Multiple Page Generator, afectando a versiones hasta la 3.3.19. Esta vulnerabilidad permite a administradores autenticados ejecutar consultas SQL maliciosas, comprometiendo la seguridad del sitio.

Contexto técnico

La vulnerabilidad se localiza en las funciones 'projects_list' y 'total_projects' del plugin, permitiendo a un atacante con privilegios de administrador inyectar código SQL malicioso. Esto puede afectar la integridad de la base de datos y la lógica de la aplicación.

Impacto potencial

El impacto potencial incluye la exposición de datos sensibles, la manipulación de la base de datos y la posibilidad de que un atacante obtenga control total sobre el sitio. Esto puede resultar en daños reputacionales y pérdidas financieras.

Vector de explotación

Generalmente, la explotación se realiza mediante el envío de solicitudes manipuladas a las funciones vulnerables, lo que permite a un atacante ejecutar comandos SQL no autorizados.

Mitigación recomendada

Actualizar el plugin a la versión 3.3.20 o superior para mitigar la vulnerabilidad. Además, se recomienda revisar los registros de actividad y aplicar medidas de seguridad adicionales para proteger la base de datos.

Señales de detección

Señales de riesgo incluyen consultas SQL inusuales en los registros, actividad sospechosa en las funciones del plugin y cambios inesperados en la base de datos.

Alcance afectado

Las versiones del plugin Multiple Page Generator hasta la 3.3.19 son vulnerables. Se recomienda verificar la instalación de este plugin en todos los sitios que lo utilicen.