GeoDirectory – WP Business Directory Plugin and Classified Listings Directory <= 2.8.162 - Unauthenticated SQL Injection (inyeccion SQL) - version 2.8.163

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL no autenticada en el plugin GeoDirectory, afectando a versiones hasta la 2.8.162. Este fallo de alta severidad podría comprometer la integridad de los datos y la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el plugin GeoDirectory, que permite a los usuarios crear directorios de negocios y listados clasificados. La inyección SQL se puede llevar a cabo sin necesidad de autenticación, lo que facilita el acceso no autorizado a la base de datos del sitio.

Impacto potencial

El impacto potencial incluye la exposición de datos sensibles y la posibilidad de manipulación de la base de datos. Esto puede resultar en pérdida de confianza por parte de los usuarios y afectar gravemente la reputación del negocio.

Vector de explotación

La explotación se realiza enviando consultas SQL maliciosas a través de parámetros manipulados en las solicitudes HTTP, lo que permite a un atacante ejecutar comandos SQL arbitrarios.

Mitigación recomendada

Actualizar el plugin GeoDirectory a la versión 2.8.163 o superior para cerrar la vulnerabilidad. Revisar los registros de acceso para detectar intentos de explotación previos. Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web (WAF).

Señales de detección

Señales de riesgo incluyen entradas inusuales en los registros de acceso, errores de SQL en los logs del servidor y cambios inesperados en la base de datos.

Alcance afectado

Las versiones afectadas son todas las versiones de GeoDirectory hasta la 2.8.162. No se han confirmado afectaciones en versiones posteriores.