WP Project Manager <= 2.6.26 - Authenticated (Subscriber+) SQL Injection via 'completed_at_operator'

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin WP Project Manager, que afecta a versiones hasta la 2.6.26. Esta vulnerabilidad permite a usuarios autenticados con rol de suscriptor o superior ejecutar consultas SQL maliciosas.

Contexto técnico

La vulnerabilidad se encuentra en el parámetro 'completed_at_operator', el cual no valida adecuadamente la entrada del usuario. Esto permite la inyección de código SQL, lo que puede comprometer la base de datos y la integridad de la aplicación.

Impacto potencial

El impacto potencial incluye la exposición de datos sensibles y la posibilidad de que un atacante manipule la base de datos. Esto puede llevar a pérdidas económicas y a un daño significativo en la reputación de la empresa.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas a través de formularios o URLs, aprovechando el acceso de usuarios autenticados con permisos suficientes.

Mitigación recomendada

Actualizar el plugin WP Project Manager a la versión 2.6.27 o superior. Además, se recomienda revisar los registros de acceso y las configuraciones de seguridad para mitigar riesgos adicionales.

Señales de detección

Señales de riesgo incluyen actividades inusuales en la base de datos, como consultas inesperadas o errores relacionados con la ejecución de SQL. También se deben monitorizar los intentos de acceso no autorizados por parte de usuarios con rol de suscriptor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.6.27 del plugin WP Project Manager. Se recomienda a los administradores de sitios que utilicen este plugin que verifiquen su versión.