Plataforma
wordpress
Componente
woozone
Corregido en
14.0.11
Se ha identificado una vulnerabilidad de inyección SQL en AA-Team WZone, afectando a versiones hasta la 14.0.10. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de los datos almacenados en la base de datos. La versión 14.0.11 ya ha sido publicada para mitigar este riesgo. Se recomienda actualizar WZone a esta versión lo antes posible.
La inyección SQL en WZone permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente. Esto puede resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos personales y detalles de transacciones. Un atacante podría modificar datos, eliminar registros o incluso tomar control total del servidor de la base de datos. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la seguridad de la aplicación y los datos asociados. La falta de validación adecuada de las entradas del usuario es la causa raíz de esta vulnerabilidad, un error común en aplicaciones web.
Esta vulnerabilidad ha sido publicada el 29 de abril de 2024. No se ha reportado explotación activa a la fecha, pero la alta puntuación CVSS (9.6) indica un riesgo significativo. Es probable que se desarrollen pruebas de concepto (PoC) públicas en un futuro cercano. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa. La vulnerabilidad no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción.
Organizations utilizing AA-Team WZone for content management and particularly those running older versions (≤14.0.10) are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others. Sites relying on WZone for user authentication or storing sensitive data are also high-priority targets.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/wzone/*• generic web:
curl -I https://your-wzone-site.com/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep wzonedisclosure
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-33546 es actualizar WZone a la versión 14.0.11 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales como la validación estricta de todas las entradas del usuario, el uso de consultas parametrizadas o procedimientos almacenados para evitar la inyección SQL, y la aplicación de un firewall de aplicaciones web (WAF) para filtrar tráfico malicioso. Revise y fortalezca las políticas de seguridad de la base de datos, incluyendo la limitación de privilegios de acceso. Después de la actualización, confirme la corrección ejecutando pruebas de penetración o utilizando herramientas de escaneo de vulnerabilidades.
Actualice el plugin WZone a la última versión disponible. La vulnerabilidad de inyección SQL permite la ejecución arbitraria de consultas SQL. La actualización a una versión posterior a la 14.0.10 debería solucionar el problema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-33546 is a critical SQL Injection vulnerability in AA-Team WZone that allows attackers to inject malicious SQL code, potentially compromising the database.
If you are using AA-Team WZone version 14.0.10 or earlier, you are affected by this vulnerability and should upgrade immediately.
Upgrade to version 14.0.11 of AA-Team WZone to remediate the vulnerability. Consider temporary workarounds like input validation if immediate upgrading isn't possible.
While no active exploitation campaigns have been publicly confirmed, the CRITICAL severity suggests a high probability of exploitation.
Refer to the AA-Team website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.