GEO my WP <= 4.5.4 - Unauthenticated SQL Injection via 'distance' / 'lat' / 'lng' Parameters (inyeccion SQL) - version 4.5.5

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin GEO my WP, que afecta a las versiones hasta 4.5.4. Esta falla permite a un atacante no autenticado ejecutar consultas SQL maliciosas, comprometiendo la integridad de la base de datos y la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se presenta a través de los parámetros 'distance', 'lat' y 'lng', permitiendo a un atacante manipular consultas SQL sin necesidad de autenticación previa. Esto expone directamente la base de datos del sitio a ataques externos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser severo, ya que permite el acceso no autorizado a datos sensibles, potencialmente comprometiendo la información de usuarios y la operativa del negocio. La explotación de esta falla puede resultar en pérdidas financieras y daños a la reputación.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas que incluyan los parámetros vulnerables, lo que les permite ejecutar comandos SQL arbitrarios en la base de datos.

Mitigación recomendada

Actualizar el plugin GEO my WP a la versión 4.5.5 o superior para cerrar la vulnerabilidad. Revisar y fortalecer las configuraciones de seguridad de la base de datos. Implementar medidas de monitoreo para detectar accesos no autorizados.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales en las solicitudes que incluyan los parámetros 'distance', 'lat' o 'lng'.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.5.5 del plugin GEO my WP. No se han confirmado otros escenarios de explotación.