Plataforma
wordpress
Componente
moveto
Corregido en
6.2.1
Se ha identificado una vulnerabilidad de inyección SQL en MoveTo, un plugin de WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a las versiones de MoveTo desde la versión inicial hasta la 6.2. Se recomienda actualizar a la versión 6.2.1 para solucionar el problema.
La inyección SQL en MoveTo permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos de WordPress. Esto puede resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos de clientes y otra información confidencial. Un atacante también podría modificar o eliminar datos, comprometiendo la funcionalidad del sitio web y la integridad de los datos. La severidad crítica de esta vulnerabilidad se debe a la facilidad con la que un atacante puede explotarla y el potencial daño que puede causar. La explotación exitosa podría permitir el control total del sitio web WordPress.
Esta vulnerabilidad ha sido publicada públicamente el 28 de febrero de 2024. Aunque no se ha confirmado explotación activa, la alta puntuación CVSS (9.8) indica un riesgo significativo. La facilidad de explotación y el impacto potencial hacen que esta vulnerabilidad sea un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca los sistemas afectados y aplicar la mitigación lo antes posible.
WordPress sites utilizing the MoveTo plugin, particularly those running versions 6.2 or earlier, are at significant risk. Shared hosting environments where multiple WordPress installations share the same database are especially vulnerable, as a compromise of one site could potentially impact others. Sites with weak database user permissions or inadequate input validation are also at increased risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/move-to/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=move-to&action=some_parameter | grep SQLdisclosure
Estado del Exploit
EPSS
0.29% (53% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar MoveTo a la versión 6.2.1, que incluye la corrección para la inyección SQL. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como restringir el acceso a la base de datos y utilizar una WAF (Web Application Firewall) para filtrar el tráfico malicioso. Revise los logs del servidor en busca de patrones de inyección SQL sospechosos. Implemente reglas de firewall que bloqueen solicitudes con caracteres SQL inyectados. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las consultas SQL se ejecuten correctamente y que no se puedan inyectar comandos maliciosos.
Actualice el plugin MoveTo a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-25910 is a critical SQL Injection vulnerability affecting the MoveTo WordPress plugin, allowing attackers to inject malicious SQL code and potentially access sensitive data.
If you are using MoveTo plugin versions 6.2 or earlier, you are affected by this vulnerability. Upgrade to 6.2.1 immediately.
Upgrade the MoveTo plugin to version 6.2.1 or later. If upgrading is not possible, implement a WAF rule to filter SQL injection attempts.
While no widespread exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of active campaigns.
Refer to the Skymoonlabs website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.