Gravity Forms Booking <= 2.7.1 - Authenticated (Subscriber+) Time-Based SQL Injection via 'staff_id' en GF Bookings Premium (inyeccion SQL) - version 2.7.2

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Gravity Forms Booking, afectando a versiones hasta 2.7.1. Esta falla permite a usuarios autenticados realizar consultas SQL maliciosas, comprometiendo la integridad de los datos y la seguridad del sitio.

Contexto técnico

El fallo se presenta en el componente 'gf-bookings-premium' a través del parámetro 'staff_id', permitiendo a usuarios con rol de suscriptor o superior ejecutar inyecciones SQL. La superficie de ataque se limita a usuarios autenticados, lo que incrementa el riesgo en entornos donde múltiples usuarios tienen acceso.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en acceso no autorizado a información sensible, alteración de datos y potenciales brechas de seguridad. Esto podría afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Generalmente, se explota enviando solicitudes manipuladas a través del parámetro 'staff_id' en el formulario de reservas, lo que permite ejecutar comandos SQL no autorizados.

Mitigación recomendada

Actualizar el plugin Gravity Forms Booking a la versión 2.7.2 o superior. Revisar los registros de acceso para detectar actividades sospechosas relacionadas con el uso del parámetro 'staff_id'. Implementar controles adicionales de acceso y autenticación para usuarios suscriptores.

Señales de detección

Señales a observar incluyen entradas inusuales en los registros de acceso y errores SQL en los logs del servidor, así como cambios inesperados en la base de datos.

Alcance afectado

Afecta a todas las instalaciones que utilicen Gravity Forms Booking en versiones hasta 2.7.1. No se han confirmado casos en versiones posteriores a 2.7.2.