FAT Services Booking <= 5.6 - Authenticated (Subscriber+) SQL Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin FAT Services Booking, que afecta a las versiones hasta la 5.6. Esta falla permite a usuarios autenticados con permisos de suscriptor y superiores ejecutar consultas SQL maliciosas.

Contexto técnico

La vulnerabilidad se produce debido a una falta de validación adecuada de los parámetros de entrada en ciertas funciones del plugin. Esto permite a un atacante, que ya ha iniciado sesión como suscriptor o con un rol superior, manipular las consultas SQL y potencialmente acceder o modificar la base de datos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la posibilidad de filtrado de datos sensibles o la modificación de información crítica en la base de datos, lo que podría comprometer la integridad y la confidencialidad de los datos del negocio.

Vector de explotación

Normalmente, esta vulnerabilidad se explota mediante el envío de solicitudes manipuladas que incluyen código SQL malicioso a través de formularios o parámetros de la aplicación, aprovechando las funciones vulnerables del plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin FAT Services Booking a la versión 5.6 o superior. Además, se sugiere revisar las configuraciones de usuario y limitar los permisos a los roles necesarios para reducir el riesgo de explotación.

Señales de detección

Se deben monitorizar los registros de actividad del plugin en busca de patrones inusuales en las consultas SQL o intentos de acceso no autorizados que puedan indicar explotación de la vulnerabilidad.

Alcance afectado

Las versiones del plugin FAT Services Booking hasta la 5.6 son susceptibles a esta vulnerabilidad. Las instalaciones que utilizan versiones anteriores a esta deben ser consideradas en riesgo.