MStore API <= 4.15.7 - Authenticated (Subscriber+) SQL Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin MStore API, que afecta a las versiones hasta la 4.15.7. Esta falla permite a usuarios autenticados con rol de suscriptor o superior ejecutar consultas SQL maliciosas.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas de usuario, permitiendo la ejecución de comandos SQL no deseados. La superficie de ataque se centra en usuarios autenticados que pueden manipular solicitudes hacia el servidor.

Impacto potencial

El impacto puede ser significativo, ya que un atacante podría acceder a datos sensibles o modificar la base de datos, comprometiendo la integridad y la confidencialidad de la información del sitio.

Vector de explotación

Generalmente, la explotación se realiza mediante la manipulación de parámetros en las solicitudes HTTP enviadas por usuarios autenticados, lo que permite la inyección de código SQL.

Mitigación recomendada

Actualizar el plugin MStore API a la versión 4.15.8 o superior. Además, se recomienda revisar los registros de actividad para detectar posibles accesos no autorizados y aplicar medidas de hardening en la base de datos.

Señales de detección

Señales de posible explotación incluyen consultas SQL inusuales en los registros del servidor, así como cambios inesperados en la base de datos o en los datos de usuario.

Alcance afectado

Las versiones del plugin MStore API hasta la 4.15.7 están afectadas, lo que incluye todas las instalaciones que no han sido actualizadas tras la publicación del parche.