Fuente base de datos: Wordfence Intelligence

BookingPress <= 1.1.28 - Authenticated (Administrator+) SQL Injection

PLUGIN MEDIUM CVE-2025-31910

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin BookingPress, afectando a versiones hasta la 1.1.28. Esta vulnerabilidad puede ser explotada por administradores autenticados, lo que aumenta su riesgo potencial.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de las entradas en el plugin BookingPress, permitiendo a un atacante con privilegios de administrador ejecutar consultas SQL maliciosas. Esto se traduce en una superficie de ataque que puede comprometer la base de datos del sitio.

Impacto potencial

Si se explota, un atacante podría acceder a información sensible almacenada en la base de datos, lo que podría resultar en la pérdida de datos, alteración de la información o incluso el control total sobre el sitio web, afectando gravemente la reputación y la operación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad generalmente implica que un atacante autenticado envíe solicitudes manipuladas al servidor, aprovechando las entradas vulnerables para ejecutar código SQL no autorizado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin BookingPress a la versión 1.1.38 o superior. Además, es aconsejable revisar los registros de acceso y las configuraciones de permisos de los usuarios para limitar el acceso innecesario.

Señales de detección

Señales de posible explotación incluyen registros de actividad inusual en el panel de administración, intentos de acceso a funciones no autorizadas y respuestas inesperadas del servidor a consultas SQL.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.1.38 del plugin BookingPress, lo que incluye la 1.1.28 y versiones anteriores.