MDTF – Meta Data and Taxonomies Filter <= 1.3.7 - Unauthenticated SQL Injection en WP Meta Data Filter AND Taxonomy Filter (inyeccion SQL) - version 1.3.8

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL no autenticada en el plugin MDTF – Meta Data and Taxonomies Filter, afectando a versiones hasta 1.3.7. Este fallo, clasificado con alta severidad, puede comprometer la seguridad de la base de datos y exponer información sensible.

Contexto técnico

La vulnerabilidad se presenta en la forma en que el plugin procesa las solicitudes de datos, permitiendo a un atacante ejecutar consultas SQL maliciosas sin necesidad de autenticación. Esto se traduce en una superficie de ataque accesible a cualquier usuario no autenticado que interactúe con las funciones del plugin.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante acceder, modificar o eliminar datos en la base de datos del sitio. Esto no solo pone en riesgo la integridad de la información, sino que también puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas a las funciones del plugin que no validan adecuadamente la entrada del usuario, facilitando la ejecución de comandos SQL no autorizados.

Mitigación recomendada

Actualizar el plugin MDTF a la versión 1.3.8 o superior de inmediato. Revisar y reforzar las configuraciones de seguridad del servidor y de la base de datos. Implementar medidas de monitoreo para detectar accesos no autorizados.

Señales de detección

Señales de riesgo pueden incluir logs de errores SQL inusuales o intentos de acceso a funciones del plugin desde direcciones IP sospechosas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.3.8. No se ha confirmado si otros plugins o componentes están relacionados con esta vulnerabilidad.