Booking calendar, Appointment Booking System <= 3.2.17 - Unauthenticated Time-Based SQL Injection via 'wpdevart_id'

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL no autenticada en el plugin Booking Calendar, versión 3.2.17 y anteriores. Esta falla permite a un atacante ejecutar consultas SQL maliciosas a través del parámetro 'wpdevart_id'.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas del usuario sin validación adecuada. Esto permite que un atacante envíe datos manipulados que se procesan directamente en consultas SQL, facilitando el acceso no autorizado a la base de datos.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la exposición de datos sensibles y la posibilidad de que un atacante comprometa la integridad de la base de datos. Esto puede resultar en pérdidas financieras y daños a la reputación de la empresa.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes HTTP que incluyen un valor manipulado en el parámetro 'wpdevart_id', lo que provoca que se ejecuten consultas SQL no deseadas.

Mitigación recomendada

Para mitigar el riesgo, se recomienda actualizar el plugin Booking Calendar a la versión 3.2.18 o superior. Además, se sugiere implementar medidas de seguridad adicionales como la validación de entradas y el uso de consultas preparadas.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales que intentan acceder a la URL del plugin con parámetros manipulados, así como errores en las consultas SQL en los registros del servidor.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Booking Calendar hasta la 3.2.17. Las instalaciones que no han actualizado a la versión 3.2.18 están en riesgo.