Plataforma
wordpress
Componente
burst-statistics
Corregido en
1.4.7
1.5.1
El plugin Burst Statistics – Privacy-Friendly Analytics para WordPress es vulnerable a una inyección SQL. Esta vulnerabilidad, presente en las versiones 1.4.0 hasta 1.5.0 (tanto la versión gratuita como la pro), permite a atacantes no autenticados inyectar consultas SQL adicionales en las existentes. El impacto principal es la posible extracción de información sensible almacenada en la base de datos del sitio WordPress.
Un atacante puede explotar esta vulnerabilidad inyectando código SQL malicioso a través del parámetro 'url'. Al lograrlo, puede ejecutar consultas arbitrarias en la base de datos, permitiéndole extraer información confidencial como nombres de usuario, contraseñas hasheadas, datos de clientes, información de configuración y otros datos sensibles. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el riesgo, ya que cualquier usuario externo puede intentar la inyección SQL. La extracción de datos podría llevar al robo de identidad, fraude financiero o daño a la reputación de la organización.
Esta vulnerabilidad ha sido publicada públicamente el 7 de diciembre de 2023. No se ha reportado su inclusión en el KEV de CISA, ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de la vulnerabilidad y la relativa facilidad de explotación la convierten en un objetivo potencial para atacantes, especialmente aquellos que buscan extraer información sensible de sitios WordPress.
WordPress websites utilizing the Burst Statistics plugin, particularly those running versions 1.4.0 through 1.5.0, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak database security configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/burst-statistics/• generic web:
curl -I 'https://your-wordpress-site.com/?url='; # Check for SQL injection attempts in the response headers.• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'burst-statistics'• wordpress / composer / npm:
wp plugin update burst-statisticsdisclosure
Estado del Exploit
EPSS
0.51% (66% percentil)
Vector CVSS
La mitigación principal es actualizar el plugin Burst Statistics a una versión corregida que solucione la vulnerabilidad de inyección SQL. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas incluyen la restricción del acceso a la base de datos, la implementación de un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear intentos de inyección SQL, y la revisión de la configuración del plugin para asegurar que se apliquen las mejores prácticas de seguridad. Monitorear los logs del servidor en busca de patrones sospechosos de inyección SQL también es crucial. Después de la actualización, confirme la mitigación revisando los logs y realizando pruebas de penetración básicas.
Actualice el plugin Burst Statistics a la última versión disponible. La vulnerabilidad de inyección SQL permite a atacantes no autenticados extraer información sensible de la base de datos. La actualización corrige la falta de sanitización en el parámetro 'url'.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5761 is a critical SQL Injection vulnerability affecting the Burst Statistics WordPress plugin versions 1.4.0–1.5.0, allowing attackers to extract sensitive data.
If you are using Burst Statistics WordPress plugin versions 1.4.0 through 1.5.0 (free or pro), you are potentially affected and should upgrade immediately.
Upgrade the Burst Statistics plugin to the latest available version. If upgrading is not possible, temporarily disable the plugin.
While no confirmed active exploitation campaigns are known, the vulnerability's severity and ease of exploitation make it a likely target.
Refer to the Burst Statistics plugin's official website or WordPress plugin repository for the latest advisory and patch information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.