Fuente base de datos: Wordfence Intelligence

GPTranslate – Multilingual AI Translation for WordPress: Automatically Translate Websites <= 2.32.6 - Unauthenticated SQL Injection (inyeccion SQL) - version 2.32.7

PLUGIN HIGH CVE-2026-49776

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin GPTranslate, afectando a versiones hasta la 2.32.6. Esta falla permite a atacantes no autenticados ejecutar consultas maliciosas, comprometiendo la integridad de los datos del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el plugin GPTranslate, que se utiliza para traducir automáticamente sitios web en WordPress. La superficie de ataque está expuesta a través de entradas no validadas, permitiendo a un atacante ejecutar comandos SQL arbitrarios sin necesidad de autenticación.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la exposición o manipulación de datos sensibles, lo que podría resultar en pérdidas financieras y dañar la reputación de la organización. La severidad de la vulnerabilidad, con un CVSS de 7.5, indica un alto riesgo para la seguridad del sitio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes HTTP maliciosas que contienen consultas SQL manipuladas a través de parámetros de entrada del plugin.

Mitigación recomendada

Actualizar el plugin GPTranslate a la versión 2.32.7 o superior para corregir la vulnerabilidad. Revisar los registros de acceso para identificar posibles intentos de explotación. Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web (WAF) para proteger contra inyecciones SQL.

Señales de detección

Señales a observar incluyen registros de errores SQL inusuales, entradas no válidas en los logs de acceso y patrones de tráfico anómalos dirigidos a los endpoints del plugin.

Alcance afectado

Las versiones del plugin GPTranslate hasta la 2.32.6 están afectadas. No se han confirmado casos de explotación en versiones posteriores a la 2.32.7.

Vulnerabilidades relacionadas

HIGH PLUGIN

jet-search

JetSearch <= 3.5.17 - Unauthenticated SQL Injection

MEDIUM PLUGIN

quiz-master-next

Quiz and Survey Master (QSM) <= 11.1.2 - Authenticated (Admin+) SQL Injection via 'order' and 'limit' Parameters

MEDIUM PLUGIN

optincraft

OptinCraft <= 1.2.0 - Authenticated (Administrator+) SQL Injection via 'order_by' Parameter

MEDIUM PLUGIN

photo-gallery

Photo Gallery by 10Web <= 1.8.41 - Authenticated (Contributor+) SQL Injection via 'compact_album_order_by' Shortcode Parameter

MEDIUM PLUGIN

photo-gallery

Photo Gallery by 10Web – Mobile-Friendly Image Gallery <= 1.8.41 - Authenticated (Contributor+) SQL Injection

MEDIUM PLUGIN

geo-mashup

Geo Mashup <= 1.13.19 - Authenticated (Subscriber+) SQL Injection

MEDIUM PLUGIN

masterstudy-lms-learning-management-system-pro

MasterStudy LMS Pro Plus <= 4.8.20 - Authenticated (Instructor+) SQL Injection via 'columns' Parameter

MEDIUM PLUGIN

gamipress

GamiPress – Gamification plugin to reward points, achievements, badges & ranks in WordPress <= 7.8.7 - Authenticated (Subscriber+) SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto