Plataforma
wordpress
Componente
email-subscribers
Corregido en
5.7.21
Se ha descubierto una vulnerabilidad de inyección SQL en el plugin Email Subscribers by Icegram Express para WordPress. Esta falla, presente en versiones hasta la 5.7.20, permite a atacantes no autenticados inyectar consultas SQL adicionales en las existentes, comprometiendo la seguridad de la base de datos. La vulnerabilidad fue publicada el 5 de junio de 2024 y se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
La inyección SQL en Email Subscribers by Icegram Express permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto podría resultar en la extracción de información confidencial, como nombres de usuario, contraseñas, direcciones de correo electrónico, datos de clientes y otra información sensible almacenada en la base de datos. Un atacante podría incluso modificar o eliminar datos, comprometiendo la integridad del sitio web. Dada la naturaleza crítica de la vulnerabilidad y su potencial para el robo de datos, el impacto es significativo y podría afectar la reputación y la confianza de los usuarios.
La vulnerabilidad CVE-2024-4295 ha sido publicada recientemente y, aunque no se han reportado casos de explotación activa a la fecha, la naturaleza crítica de la inyección SQL sugiere un alto riesgo de explotación. No se ha añadido a la lista KEV de CISA ni se ha identificado un puntaje EPSS. Se recomienda monitorear de cerca la situación y aplicar las mitigaciones necesarias lo antes posible.
WordPress websites using the Email Subscribers by Icegram Express plugin, particularly those running versions prior to 5.7.20, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others. Websites with sensitive user data stored in the database are also at higher risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/email-subscribers-by-icegram-express/• wordpress / composer / npm:
wp plugin list --status=active | grep icegram• wordpress / composer / npm:
wp plugin update email-subscribers-by-icegram-express• generic web: Check WordPress plugin directory for updates and security advisories related to Email Subscribers by Icegram Express.
disclosure
Estado del Exploit
EPSS
92.80% (100% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Email Subscribers by Icegram Express a la última versión disponible, que incluye la corrección de la inyección SQL. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la base de datos, utilizar contraseñas seguras y habilitar un firewall de aplicaciones web (WAF) para filtrar tráfico malicioso. Además, revise los logs del servidor en busca de actividades sospechosas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el parámetro 'hash' ya no sea susceptible a inyección SQL.
Actualice el plugin Email Subscribers by Icegram Express a la última versión disponible. La vulnerabilidad de inyección SQL fue corregida en versiones posteriores a la 5.7.20. Esto evitará que atacantes no autenticados ejecuten consultas SQL maliciosas en su base de datos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-4295 is a critical SQL Injection vulnerability in the Email Subscribers by Icegram Express WordPress plugin, allowing attackers to extract data.
You are affected if you are using Email Subscribers by Icegram Express version 5.7.20 or earlier. Check your plugin version immediately.
Upgrade the Email Subscribers by Icegram Express plugin to a version greater than 5.7.20. If upgrading is not possible, disable the plugin temporarily.
While no confirmed active exploitation campaigns are known, the vulnerability's severity and ease of exploitation suggest a high risk of future attacks.
Check the Icegram Express website and WordPress plugin repository for official security advisories and updates related to CVE-2024-4295.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.