Vulnerabilidad en WordPress SEO Plugin by Yoast (inyección SQL)

Uno de los plugins más usados en WordPress para configurar nuestro SEO interno deberá ser actualizado a la versión 1.7.4 lo antes posible debido a una vulnerabilidad descubierta por Dewhurst Security que permite a un atacante realizar una inyección SQL con el administrador o con el rol de editor o autor conectado.

Dicha vulnerabilidad afecta al fichero que se encuentra en la carpeta admin, más concretamente, class-bulk-editor-list-table.php. La query SQL permite ejecutarse y “dormir” durante un lapso de 10 segundos. Si admin o editor se encuentran en sesión, el atacante podrá acceder a los datos de login mediante el simple uso de SQLmap.

Toda la información técnica de este fallo de seguridad está disponible en exploit-db.com. Y recuerda que las versiones 1.7.3.3 y anteriores son susceptibles del ataque.

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *