JetEngine <= 3.8.9.1 - Unauthenticated SQL Injection en JET Engine (inyeccion SQL) - version 3.8.10

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL no autenticada en JetEngine hasta la versión 3.8.9.1, con un alto nivel de severidad. Esta falla puede ser explotada para comprometer la base de datos del sitio, lo que puede resultar en la pérdida de datos o alteraciones maliciosas.

Contexto técnico

El fallo se origina en el plugin JetEngine, que permite la ejecución de consultas SQL sin la debida autenticación. Esto expone a los sitios web a ataques donde un atacante puede enviar peticiones maliciosas para manipular la base de datos.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante acceder o modificar datos sensibles, lo que podría comprometer la integridad del sitio y la confianza de los usuarios. Además, podría tener repercusiones legales y de reputación para las organizaciones afectadas.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes HTTP manipuladas que contienen comandos SQL maliciosos, permitiendo así la ejecución de consultas no autorizadas en la base de datos.

Mitigación recomendada

Actualizar JetEngine a la versión 3.8.10 o superior para corregir la vulnerabilidad. Revisar y auditar las configuraciones del plugin para asegurar que no existan otras configuraciones inseguras. Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web (WAF), para mitigar riesgos futuros.

Señales de detección

Monitorear los registros de acceso en busca de patrones inusuales en las solicitudes HTTP, especialmente aquellas que contienen parámetros SQL. También, verificar configuraciones de seguridad en el plugin.

Alcance afectado

Las versiones afectadas son JetEngine hasta la 3.8.9.1. No se han confirmado casos en versiones posteriores a la 3.8.10.