Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin Gallery de WordPress, que permitiría a un atacante con privilegios realizar inyección de comandos SQL (SQLi) en el sistema afectado.
La vulnerabilidad identificada como CVE-2023-0765, de severidad “Alta” y con puntuación asignada de 8.5. Esta vulnerabilidad de inyección SQL (SQLi) a ciegas (blind) se debe a una falla de validación de datos de entradas del usuario en el plugin Gallery de WordPress. Esto permitiría a un atacante con privilegios de autor al menos, a través del plugin Slider del proveedor https://wordpress.org/plugins/slider-bws/ instalado, acceder a la base de datos y obtener acceso no autorizado a información confidencial en el sistema afectado.
El producto afectado es:
- WordPress Gallery Plugin, versiones anteriores a 4.7.0.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias: