Plataforma
wordpress
Componente
wp-recall
Corregido en
16.26.6
La vulnerabilidad CVE-2024-32709 es una inyección SQL detectada en el plugin WP-Recall. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. Afecta a las versiones de WP-Recall anteriores o iguales a 16.26.5. Se recomienda actualizar a la versión 16.26.6 para solucionar este problema.
La inyección SQL en WP-Recall permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos del sitio WordPress. Esto puede resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos de clientes y otra información confidencial. Un atacante podría modificar datos, eliminar registros o incluso tomar el control completo de la base de datos. La severidad crítica de esta vulnerabilidad se debe a la facilidad con la que un atacante puede explotarla y el impacto potencial en la seguridad del sitio web. La falta de validación adecuada de las entradas del usuario permite la inyección de código SQL, similar a vulnerabilidades encontradas en otros plugins de WordPress con manejo inadecuado de datos.
La vulnerabilidad CVE-2024-32709 fue publicada el 24 de abril de 2024. No se ha confirmado la explotación activa de esta vulnerabilidad en la naturaleza, pero la alta puntuación CVSS (9.3) indica un alto riesgo. Se recomienda monitorear los registros del servidor y las alertas de seguridad para detectar cualquier actividad sospechosa. No se ha añadido a KEV a la fecha.
Websites using the WP-Recall plugin, particularly those with sensitive data stored in their WordPress database, are at significant risk. Shared hosting environments where multiple WordPress installations share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/wp-recall/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-recall/ | grep SQLdisclosure
Estado del Exploit
EPSS
92.91% (100% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-32709 es actualizar el plugin WP-Recall a la versión 16.26.6 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas que contengan código SQL. Además, revise y fortalezca las políticas de seguridad del sitio web, incluyendo la validación de todas las entradas de usuario y la implementación de principios de seguridad de desarrollo seguro.
Actualice el plugin WP-Recall a la última versión disponible. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-32709 is a critical SQL Injection vulnerability affecting the WP-Recall WordPress plugin, allowing attackers to inject malicious SQL code and potentially compromise the database.
You are affected if you are using WP-Recall version 16.26.5 or earlier. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the WP-Recall plugin to version 16.26.6 or later. If immediate upgrade is not possible, implement a WAF rule and sanitize user inputs.
While no active exploitation campaigns have been confirmed, the CRITICAL severity and ease of exploitation suggest a high probability of exploitation.
Refer to the WP-Recall plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.