Plataforma
wordpress
Componente
profilegrid-user-profiles-groups-and-communities
Corregido en
5.7.9
Se ha identificado una vulnerabilidad de inyección SQL en ProfileGrid, un plugin para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados. La vulnerabilidad afecta a las versiones de ProfileGrid anteriores o iguales a la 5.7.8, y se recomienda actualizar a la versión 5.7.9 para solucionar el problema.
La inyección SQL en ProfileGrid permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos subyacente. Esto podría resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos personales y otra información confidencial almacenada en la base de datos. Un atacante también podría modificar o eliminar datos, comprometiendo la integridad de la aplicación. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad de los datos. Si bien no se han reportado explotaciones públicas directas, la naturaleza de la inyección SQL la convierte en un objetivo atractivo para actores maliciosos.
Esta vulnerabilidad fue publicada el 29 de marzo de 2024. Actualmente no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección SQL implica una alta probabilidad de explotación si no se mitiga. Se recomienda aplicar la actualización lo antes posible.
Organizations and individuals using ProfileGrid on WordPress sites, particularly those handling sensitive user data or relying on ProfileGrid for critical business processes, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/profilegrid/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/profilegrid/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep profilegrid• wordpress / composer / npm:
wp plugin update profilegriddisclosure
Estado del Exploit
EPSS
14.44% (94% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar ProfileGrid a la versión 5.7.9 o superior, que incluye la corrección de la inyección SQL. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario. Implementar reglas de firewall de aplicaciones web (WAF) que bloqueen patrones de inyección SQL comunes puede proporcionar una capa adicional de protección. Monitorear los registros de la base de datos en busca de consultas SQL sospechosas también puede ayudar a detectar y responder a posibles ataques.
Actualice el plugin ProfileGrid a la última versión disponible. La vulnerabilidad de inyección SQL permite la ejecución de comandos SQL arbitrarios. Se recomienda realizar la actualización lo antes posible para evitar posibles ataques.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-30490 is a critical SQL Injection vulnerability affecting ProfileGrid versions up to 5.7.8. Attackers can inject malicious SQL code to potentially access or manipulate data.
If you are using ProfileGrid version 5.7.8 or earlier, you are vulnerable. Check your plugin version and upgrade immediately.
Upgrade ProfileGrid to version 5.7.9 or later. This resolves the SQL Injection vulnerability.
While no active exploitation campaigns have been confirmed, the CRITICAL severity suggests a high likelihood of exploitation attempts.
Refer to the official ProfileGrid website and WordPress plugin repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.