Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin WP Coder de WordPress, que permitiría a un atacante remoto realizar inyección SQL (SQLi) en el sistema afectado.
La vulnerabilidad identificada como CVE-2023-0895, de severidad “Alta”, con una puntuación asignada de 7.2. Esta vulnerabilidad de inyección SQL (SQLi) se debe a la incorrecta validación de datos de entrada a través del parámetro id en el plugin WP Coder de WordPress. Esto permitiría a un atacante remoto autenticado con privilegios de administrador a través de instrucciones SQL especialmente diseñadas, obtener acceso a la base de datos back-end y ejecutar consultas personalizadas en el sistema afectado.
El producto afectado es:
- WordPress WP Coder Plugin, versión 2.5.3 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace:
Referencias:
- https://www.redpacketsecurity.com/wp-coder-plugin-for-wordpress-sql-injection-cve-2023-0895/
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-coder/wp-coder-add-custom-html-css-and-js-code-253-authenticated-admin-sql-injection
- https://nvd.nist.gov/vuln/detail/CVE-2023-0895
- https://wordpress.org/plugins/wp-coder/