Fuente base de datos: Wordfence Intelligence

Gravity Bookings <= 2.5.9 - Unauthenticated SQL Injection via 'category_id' Parameter en GF Bookings Premium (inyeccion SQL) - version 2.6

PLUGIN HIGH CVE-2026-1719

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Gravity Bookings, afectando a versiones hasta la 2.5.9. Este fallo permite a un atacante no autenticado ejecutar consultas SQL maliciosas, lo que podría comprometer la base de datos del sitio web.

Contexto técnico

El fallo se origina en el parámetro 'category_id', que no valida adecuadamente las entradas del usuario. Esto permite que un atacante envíe solicitudes manipuladas para ejecutar comandos SQL, afectando la integridad de la base de datos.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la filtración de datos sensibles, alteración de información y potencial acceso no autorizado a la base de datos. Esto puede conllevar pérdidas económicas y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen enviar solicitudes HTTP manipuladas que incluyen un 'category_id' especialmente diseñado para ejecutar comandos SQL maliciosos.

Mitigación recomendada

Actualizar el plugin Gravity Bookings a la versión 2.6 o superior para corregir la vulnerabilidad. Implementar medidas de seguridad adicionales, como firewalls de aplicación web, para filtrar tráfico malicioso. Realizar auditorías periódicas de la base de datos y registros de acceso para detectar actividades sospechosas.

Señales de detección

Monitorear registros de acceso en busca de patrones inusuales en las solicitudes que incluyan el parámetro 'category_id' y errores SQL en los logs del servidor.

Alcance afectado

Las versiones de Gravity Bookings hasta la 2.5.9 están afectadas. No se han confirmado casos en versiones posteriores a la 2.6.

Vulnerabilidades relacionadas

HIGH PLUGIN

geeky-bot

GeekyBot — Generate AI Content Without Prompt, Chatbot and Lead Generation <= 1.2.0 - Unauthenticated SQL Injection via 'attributekey'

HIGH PLUGIN

wp-cookie-allow

WeePie Cookie Allow <= 3.4.11 - Unauthenticated SQL Injection via 'consent' Parameter

HIGH PLUGIN

form-maker

Form Maker by 10Web – Mobile-Friendly Drag & Drop Contact Form Builder <= 1.15.42 - Unauthenticated SQL Injection via 'inputs'

HIGH PLUGIN

another-wordpress-classifieds-plugin

AWP Classifieds <= 4.4.5 - Unauthenticated SQL Injection via 'regions'

HIGH PLUGIN

armember-membership

ARMember <= 4.0.60 - Unauthenticated SQL Injection via 'orderby' Parameter

MEDIUM PLUGIN

geo-mashup

Geo Mashup <= 1.13.19 - Authenticated (Subscriber+) SQL Injection via 'geo_mashup_null_fields' Parameter

HIGH PLUGIN

geo-mashup

Geo Mashup <= 1.13.18 - Unauthenticated Time-Based SQL Injection via 'sort' Parameter

HIGH PLUGIN

geo-mashup

Geo Mashup <= 1.13.18 - Unauthenticated Time-Based SQL Injection via 'map_post_type' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto