Escanear gratis
CRITICALCVE-2024-4742CVSS 9.8

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin para WordPress <= 1.2.5 - Inyección SQL (SQL Injection) Autenticada (Contribuidor+)

Plataforma

wordpress

Componente

youzify

Corregido en

1.2.6

AI Confidence: highNVDEPSS 0.6%Revisado: may 2026
Ver en NVD
Guardar

Se ha descubierto una vulnerabilidad de inyección SQL en el plugin Youzify para WordPress, específicamente en la versión 1.2.5 y anteriores. Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, inyectar consultas SQL adicionales en las existentes, comprometiendo la seguridad de la base de datos. La vulnerabilidad reside en el atributo order_by del shortcode, debido a la falta de sanitización adecuada de los datos proporcionados por el usuario.

WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis

Impacto y Escenarios de Ataque

La inyección SQL en Youzify permite a un atacante autenticado con privilegios mínimos (Contribuidor) ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto puede resultar en la extracción de información sensible, como nombres de usuario, contraseñas hasheadas, datos de clientes, información de contacto y cualquier otro dato almacenado en la base de datos. Un atacante podría modificar datos, eliminar registros o incluso tomar el control total del sitio web. La severidad de esta vulnerabilidad es crítica debido a su facilidad de explotación y el potencial daño que puede causar. La falta de validación de la entrada del usuario en el atributo order_by abre una puerta directa a la manipulación de las consultas SQL.

Contexto de Explotación

Esta vulnerabilidad ha sido publicada públicamente el 20 de junio de 2024. No se ha reportado su inclusión en el KEV de CISA, pero dada su alta severidad (CVSS 9.8) y la facilidad de explotación, es probable que sea monitoreada de cerca. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección SQL hace que sea relativamente sencillo desarrollar una. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.

Quién Está en Riesgotraduciendo…

WordPress websites utilizing the Youzify plugin, particularly those running versions 1.2.5 or earlier, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others. Sites with weak password policies or inadequate user access controls are also at higher risk.

Pasos de Deteccióntraduciendo…

• wordpress / composer / npm:

grep -r "order_by shortcode attribute" /var/www/html/wp-content/plugins/youzify/

• wordpress / composer / npm:

wp plugin list --status=active | grep youzify

• wordpress / composer / npm:

wp plugin update youzify --all

• generic web: Check WordPress plugin directory for updated version of Youzify.

Cronología del Ataque

  1. Disclosure

    disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.63% (70% percentil)

CISA SSVC

Explotaciónnone
Automatizableyes
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componenteyouzify
Proveedoryouzify
Rango afectadoCorregido en
* – 1.2.51.2.6

Información del paquete

Instalaciones activas
6KNicho
Valoración del plugin
4.9
Requiere WordPress
4.9+
Compatible hasta
6.9.4
Requiere PHP
5.6+
Sitio web

Clasificación de Debilidad (CWE)

CWE-89

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado
Sin parche — 703 días desde la divulgación

Mitigación y Workarounds

La mitigación principal es actualizar el plugin Youzify a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda limitar el acceso a la base de datos y restringir los privilegios de los usuarios con rol de Contribuidor. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección SQL en el atributo order_by puede proporcionar una capa adicional de protección. Revisar y fortalecer las políticas de contraseñas y la autenticación de usuarios también es crucial. Después de la actualización, confirmar la corrección ejecutando pruebas de penetración o utilizando herramientas de escaneo de vulnerabilidades.

Cómo corregirlo

Actualice el plugin Youzify a la última versión disponible. La vulnerabilidad de inyección SQL ha sido corregida en versiones posteriores a la 1.2.5. Esto evitará que atacantes autenticados con nivel de Contribuidor o superior puedan ejecutar consultas SQL maliciosas.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2024-4742 — SQL Injection in Youzify WordPress Plugin?

CVE-2024-4742 is a critical SQL Injection vulnerability in the Youzify WordPress plugin, affecting versions up to 1.2.5. It allows authenticated attackers to inject malicious SQL queries and potentially extract sensitive data.

Am I affected by CVE-2024-4742 in Youzify WordPress Plugin?

You are affected if your WordPress site uses the Youzify plugin and is running version 1.2.5 or earlier. Check your plugin version immediately and upgrade if necessary.

How do I fix CVE-2024-4742 in Youzify WordPress Plugin?

Upgrade the Youzify plugin to the latest available version. If upgrading is not immediately possible, implement a WAF rule to filter malicious SQL injection attempts.

Is CVE-2024-4742 being actively exploited?

While no widespread exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest it is a likely target for malicious actors. Continuous monitoring is advised.

Where can I find the official Youzify advisory for CVE-2024-4742?

Check the Youzify website and the WordPress plugin repository for the official advisory and updated version information.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs