Vulnerabilidad en Accredible Certificates & Open Badges para WordPress (CVE-2024-13909)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
10/04/2025
Última modificación:
08/04/2026
Descripción
El complemento Accredible Certificates & Open Badges para WordPress es vulnerable a la inyección SQL basada en tiempo a través del parámetro 'orderby' en todas las versiones hasta la 1.4.9 incluida, debido al escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes autenticados, con acceso de nivel de administrador y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/accredible-certificates/tags/1.4.9/users_list.php#L48
- https://plugins.trac.wordpress.org/browser/accredible-certificates/trunk/class-users-list.php?rev=3296340#L55
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3296340%40accredible-certificates&new=3296340%40accredible-certificates
- https://wordpress.org/plugins/accredible-certificates/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/f96d3773-29a1-44bd-904a-905aff2b345e?source=cve