Plataforma
wordpress
Componente
real-estate-listing-realtyna-wpl
Corregido en
4.14.5
Se ha descubierto una vulnerabilidad de inyección SQL en el plugin Realtyna Organic IDX y WPL Real Estate, afectando versiones hasta la 4.14.4. Esta falla permite a atacantes maliciosos inyectar código SQL en las consultas de la base de datos, potencialmente comprometiendo la integridad y confidencialidad de la información almacenada. La versión 4.14.5 corrige esta vulnerabilidad, y se recomienda su aplicación inmediata.
La inyección SQL en Realtyna Organic IDX permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos del sitio web. Esto podría resultar en la extracción de información sensible, como nombres de usuario, contraseñas, direcciones, datos de contacto y detalles de propiedades. Un atacante podría modificar datos, eliminar registros o incluso tomar control completo de la base de datos. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial daño que puede causar, similar a otras vulnerabilidades de inyección SQL que han afectado a plataformas de comercio electrónico y sistemas de gestión de contenido.
Esta vulnerabilidad fue publicada el 15 de abril de 2024. No se ha reportado su inclusión en el KEV de CISA ni existen públicamente pruebas de explotación activas. Sin embargo, dada la severidad de la vulnerabilidad y la facilidad de explotación de la inyección SQL, es probable que sea objeto de escaneo y explotación por parte de actores maliciosos.
Websites utilizing the Realtyna Organic IDX plugin and WPL Real Estate plugin, particularly those running older versions (≤4.14.4), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and security configurations. Sites with custom integrations or extensions built on top of the Realtyna IDX plugin may also be affected.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/realtyna-organic-idx/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=idx_get_listings | grep SQLdisclosure
Estado del Exploit
EPSS
11.04% (93% percentil)
Vector CVSS
La mitigación principal es actualizar el plugin Realtyna Organic IDX a la versión 4.14.5 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para filtrar consultas SQL maliciosas. Además, revise y valide todas las entradas de usuario para prevenir la inyección de código. Después de la actualización, confirme la corrección ejecutando pruebas de penetración o utilizando herramientas de escaneo de vulnerabilidades.
Actualice el plugin Realtyna Organic IDX plugin + WPL Real Estate plugin a la última versión disponible. La vulnerabilidad de inyección SQL ha sido corregida en versiones posteriores a la 4.14.4. Consulte la página del plugin en WordPress para obtener la versión más reciente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-32128 is a critical SQL Injection vulnerability affecting Realtyna Organic IDX and WPL Real Estate plugins, allowing attackers to inject malicious SQL code and potentially access sensitive data.
You are affected if you are using Realtyna Organic IDX or WPL Real Estate plugin versions 4.14.4 or earlier. Immediate action is required.
Upgrade the Realtyna Organic IDX and WPL Real Estate plugin to version 4.14.5 or later to patch the vulnerability. Consider WAF rules as a temporary workaround.
While no confirmed active exploitation campaigns are known, the CRITICAL severity suggests a high likelihood of exploitation. Monitor your systems closely.
Refer to the Realtyna website and WordPress plugin repository for the latest advisory and update information regarding CVE-2024-32128.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.