Fuente base de datos: Wordfence Intelligence

Cargo Shipping Location for WooCommerce <= 5.6 - Unauthenticated SQL Injection (inyeccion SQL) - version 5.7

PLUGIN HIGH CVE-2026-54815

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

El plugin Cargo Shipping Location para WooCommerce presenta una vulnerabilidad de inyección SQL no autenticada, lo que permite a un atacante ejecutar consultas maliciosas. Esta falla, con un CVSS de 7.5, puede comprometer gravemente la seguridad de la base de datos del sitio.

Contexto técnico

La vulnerabilidad se origina en el plugin Cargo Shipping Location para WooCommerce en versiones hasta la 5.6. Permite a un atacante enviar solicitudes maliciosas que manipulan la base de datos sin necesidad de autenticación previa, exponiendo datos sensibles.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la divulgación de información confidencial y la manipulación de datos, afectando la integridad y disponibilidad del negocio. La falta de protección adecuada puede llevar a pérdidas financieras y de confianza por parte de los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando peticiones HTTP específicamente diseñadas que contienen código SQL malicioso, permitiendo la ejecución de comandos no autorizados en la base de datos.

Mitigación recomendada

Actualizar el plugin Cargo Shipping Location para WooCommerce a la versión 5.7 o superior. Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web (WAF) para filtrar tráfico malicioso. Realizar auditorías de seguridad periódicas en la base de datos y el código del plugin.

Señales de detección

Monitorear los logs de acceso en busca de patrones inusuales en las solicitudes HTTP, especialmente aquellas que contienen parámetros SQL. Configuraciones de seguridad que no coincidan con las prácticas recomendadas también pueden ser indicativas.

Alcance afectado

Las versiones del plugin Cargo Shipping Location para WooCommerce hasta la 5.6 están afectadas. No se han confirmado otros escenarios o plugins relacionados que puedan estar en riesgo.

Vulnerabilidades relacionadas

HIGH PLUGIN

clearsale-total

ClearSale Total <= 3.4.2 - Unauthenticated SQL Injection

HIGH PLUGIN

wp-forms-connector

WP Forms Connector <= 1.8 - Unauthenticated SQL Injection via 'order' Parameter

HIGH PLUGIN

premmerce-woocommerce-wishlist

Premmerce Wishlist for WooCommerce <= 1.1.11 - Unauthenticated SQL Injection

HIGH PLUGIN

ymc-smart-filter

YMC Filter <= 3.11.5 - Unauthenticated SQL Injection

MEDIUM PLUGIN

media-library-assistant

Media Library Assistant <= 3.35 - Authenticated (Contributor+) SQL Injection

HIGH PLUGIN

wp-meta-data-filter-and-taxonomy-filter

MDTF – Meta Data and Taxonomies Filter <= 1.3.7 - Unauthenticated SQL Injection

MEDIUM PLUGIN

wc-vendors

WC Vendors – WooCommerce Multivendor, WooCommerce Marketplace, Product Vendors <= 2.6.8 - Authenticated (Subscriber+) SQL Injection

HIGH THEME

realestate-7

Real Estate 7 WordPress <= 3.5.9 - Unauthenticated SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto