MStore API <= 3.9.7 - Unauthenticated SQL Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin MStore API, que afecta a las versiones hasta 3.9.7. Esta vulnerabilidad permite a un atacante no autenticado ejecutar consultas SQL maliciosas, poniendo en riesgo la integridad de la base de datos.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de las entradas del usuario, permitiendo la ejecución de comandos SQL arbitrarios. Esto puede comprometer la base de datos del sitio web, dado que un atacante puede manipular las consultas para obtener información sensible o modificar datos.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que puede permitir a un atacante acceder a datos confidenciales o incluso tomar control del sistema. Esto podría resultar en la pérdida de datos, daños a la reputación de la empresa y posibles sanciones legales.

Vector de explotación

La explotación de esta vulnerabilidad suele llevarse a cabo mediante el envío de peticiones HTTP manipuladas que contienen consultas SQL maliciosas, sin necesidad de autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin MStore API a la versión 3.9.8 o superior. Además, se debe realizar una revisión de las configuraciones de seguridad y aplicar prácticas de hardening en la base de datos.

Señales de detección

Señales de posible explotación incluyen registros de errores inusuales en la base de datos, peticiones HTTP sospechosas que contienen parámetros SQL y un aumento en el tráfico hacia puntos finales del plugin que no deberían ser accesibles sin autenticación.

Alcance afectado

Las versiones del plugin MStore API hasta la 3.9.7 son vulnerables. Las instalaciones que utilizan estas versiones deben ser actualizadas de inmediato para evitar riesgos.