Fuente base de datos: Wordfence Intelligence

SALESmanago & Leadoo <= 3.11.2 - Authenticated (Subscriber+) SQL Injection (inyeccion SQL) - version 3.11.3

PLUGIN MEDIUM CVE-2026-54822

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha detectado una vulnerabilidad de inyección SQL en el plugin SALESmanago y Leadoo en versiones hasta 3.11.2. Esta vulnerabilidad, con un nivel de severidad medio, puede ser explotada por usuarios autenticados, lo que podría comprometer la integridad de la base de datos y los datos del usuario.

Contexto técnico

El fallo se presenta en el componente SALESmanago y Leadoo, donde un atacante autenticado con rol de suscriptor o superior puede ejecutar consultas SQL maliciosas. La superficie de ataque se centra en formularios o puntos de entrada que no validan adecuadamente los datos introducidos por el usuario.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante acceder a información sensible almacenada en la base de datos, lo que podría resultar en la exposición de datos de clientes y afectar la confianza en la plataforma. Además, puede comprometer la estabilidad del sistema y la operatividad del negocio.

Vector de explotación

Generalmente, la inyección SQL se lleva a cabo mediante la manipulación de parámetros en solicitudes HTTP, donde el atacante introduce código SQL en campos de entrada sin la debida sanitización.

Mitigación recomendada

Actualizar el plugin SALESmanago y Leadoo a la versión 3.11.3 o superior para corregir la vulnerabilidad. Revisar y fortalecer la validación de datos en todos los formularios del sistema. Implementar medidas de seguridad adicionales como el uso de WAF (Web Application Firewall) para filtrar tráfico malicioso.

Señales de detección

Monitorizar registros de acceso y errores en el servidor para detectar patrones inusuales que puedan indicar intentos de explotación. Prestar atención a entradas de usuario que contengan caracteres especiales o consultas SQL.

Alcance afectado

Las versiones afectadas son SALESmanago y Leadoo hasta la 3.11.2. No se han reportado casos de explotación en versiones posteriores a 3.11.3.

Vulnerabilidades relacionadas

HIGH PLUGIN

clearsale-total

ClearSale Total <= 3.4.2 - Unauthenticated SQL Injection

HIGH PLUGIN

wp-forms-connector

WP Forms Connector <= 1.8 - Unauthenticated SQL Injection via 'order' Parameter

HIGH PLUGIN

premmerce-woocommerce-wishlist

Premmerce Wishlist for WooCommerce <= 1.1.11 - Unauthenticated SQL Injection

HIGH PLUGIN

ymc-smart-filter

YMC Filter <= 3.11.5 - Unauthenticated SQL Injection

MEDIUM PLUGIN

media-library-assistant

Media Library Assistant <= 3.35 - Authenticated (Contributor+) SQL Injection

HIGH PLUGIN

wp-meta-data-filter-and-taxonomy-filter

MDTF – Meta Data and Taxonomies Filter <= 1.3.7 - Unauthenticated SQL Injection

MEDIUM PLUGIN

wc-vendors

WC Vendors – WooCommerce Multivendor, WooCommerce Marketplace, Product Vendors <= 2.6.8 - Authenticated (Subscriber+) SQL Injection

HIGH THEME

realestate-7

Real Estate 7 WordPress <= 3.5.9 - Unauthenticated SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto