Product Feed on WooCommerce for Google <= 3.5.7 - Authenticated (Administrator+) SQL Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin 'Product Feed on WooCommerce for Google' hasta la versión 3.5.7. Esta falla permite a usuarios con privilegios de administrador ejecutar código SQL malicioso en la base de datos.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de las entradas en el plugin, lo que permite la manipulación de consultas SQL. La superficie de ataque se amplía a cualquier instalación del plugin donde un administrador malintencionado pueda introducir comandos SQL.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de la base de datos, permitiendo a un atacante acceder, modificar o eliminar datos críticos. Esto podría resultar en pérdidas financieras, daños a la reputación y violaciones de cumplimiento normativo.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando peticiones HTTP manipuladas a través de la interfaz de administración, lo que les permite ejecutar consultas SQL no autorizadas.

Mitigación recomendada

Actualizar inmediatamente el plugin a la versión 3.5.7 o superior. Además, se recomienda realizar auditorías regulares de seguridad y aplicar medidas de hardening en la base de datos y el entorno de WordPress.

Señales de detección

Monitorear registros de actividad inusuales en la base de datos, así como peticiones HTTP sospechosas que intenten manipular la funcionalidad del plugin.

Alcance afectado

Todas las instalaciones del plugin 'Product Feed on WooCommerce for Google' hasta la versión 3.5.7 son vulnerables. Las versiones posteriores han sido corregidas.