Simply Schedule Appointments <= 1.6.9.9 - Unauthenticated SQL Injection via `order` and `append_where_sql` Parameters

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin Simply Schedule Appointments, que afecta a las versiones hasta la 1.6.9.9. Esta vulnerabilidad permite a un atacante no autenticado manipular consultas SQL a través de parámetros específicos.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja los parámetros `order` y `append_where_sql`, lo que permite inyecciones SQL. Esto expone la base de datos a ataques que pueden comprometer la integridad y confidencialidad de los datos almacenados.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, permitiendo a un atacante acceder a información sensible, modificar datos o incluso tomar control total del sitio. Esto puede resultar en pérdidas financieras y daños a la reputación de la empresa.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas que incluyen valores maliciosos en los parámetros `order` y `append_where_sql`, lo que les permite ejecutar consultas SQL arbitrarias.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Simply Schedule Appointments a la versión 1.6.9.13 o superior. Además, es aconsejable realizar auditorías de seguridad periódicas y aplicar medidas de hardening a la base de datos.

Señales de detección

Señales de posible explotación incluyen registros de errores SQL inusuales en los logs del servidor y solicitudes HTTP que contienen parámetros manipulados relacionados con `order` y `append_where_sql`.

Alcance afectado

Las versiones del plugin Simply Schedule Appointments hasta la 1.6.9.9 están afectadas. Las versiones posteriores, a partir de la 1.6.9.13, han sido corregidas.