FV Player <= 7.5.46.7212 - Authenticated (Subscriber+) SQL Injection via exclude Parameter

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin FV Player hasta la versión 7.5.46.7212. Esta vulnerabilidad permite a usuarios autenticados con rol de suscriptor o superior ejecutar consultas SQL maliciosas.

Contexto técnico

La vulnerabilidad se origina en el parámetro 'exclude' del plugin FV Player, lo que permite a un atacante inyectar código SQL al interactuar con ciertas funciones del plugin. Esto afecta a la forma en que se gestionan las solicitudes a la base de datos, exponiendo la superficie de ataque a usuarios con credenciales válidas.

Impacto potencial

Si se explota, esta vulnerabilidad podría permitir a un atacante acceder a información sensible de la base de datos, comprometiendo la integridad y confidencialidad de los datos del sitio. Esto podría derivar en pérdidas económicas y daños a la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes manipuladas a través del parámetro 'exclude', lo que les permite ejecutar consultas SQL no autorizadas en el servidor de la base de datos.

Mitigación recomendada

Se recomienda actualizar el plugin FV Player a la versión 7.5.47.7212 o posterior. Además, se sugiere revisar los registros de actividad para detectar accesos inusuales y aplicar medidas de seguridad adicionales como la restricción de acceso a la base de datos.

Señales de detección

Se deben monitorizar los registros de acceso y errores del servidor en busca de patrones inusuales asociados a consultas SQL. Alertas sobre intentos de acceso no autorizados por parte de usuarios suscriptores también pueden ser indicativos de explotación.

Alcance afectado

Las versiones del plugin FV Player hasta la 7.5.46.7212 están afectadas. Esto incluye todas las instalaciones que utilicen este plugin en versiones anteriores a la 7.5.47.7212.