Fuente base de datos: Wordfence Intelligence

WP Ticket <= 6.0.4 - Unauthenticated SQL Injection via WordPress Search 's' Parameter (inyeccion SQL) - version 6.0.5

PLUGIN HIGH CVE-2026-9848

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin WP Ticket, que afecta a las versiones hasta la 6.0.4. Este fallo permite a atacantes no autenticados ejecutar consultas SQL maliciosas, lo que podría comprometer la seguridad de la base de datos.

Contexto técnico

La vulnerabilidad se origina en el parámetro 's' utilizado en la búsqueda de WordPress, permitiendo a un atacante enviar solicitudes manipuladas que ejecutan código SQL no autorizado. Esto expone la base de datos a accesos no deseados y alteraciones.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la divulgación de información sensible, alteración de datos o incluso la toma de control de la base de datos. Esto podría tener repercusiones significativas en la integridad de la información y la confianza del usuario.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas que contienen código SQL malicioso a través del parámetro de búsqueda.

Mitigación recomendada

Actualizar WP Ticket a la versión 6.0.5 o superior para cerrar la vulnerabilidad. Revisar y reforzar las configuraciones de seguridad de la base de datos. Implementar medidas de monitoreo para detectar accesos inusuales a la base de datos.

Señales de detección

Señales de posible explotación incluyen entradas inusuales en los logs de acceso, así como patrones de consulta SQL no autorizados en los registros de la base de datos.

Alcance afectado

Las versiones afectadas son todas las versiones de WP Ticket hasta la 6.0.4. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

newsletters-lite

Newsletters <= 4.13 - Unauthenticated SQL Injection via wpmlsubscriber_id Parameter

HIGH PLUGIN

jet-search

JetSearch <= 3.5.17 - Unauthenticated SQL Injection

MEDIUM PLUGIN

quiz-master-next

Quiz and Survey Master (QSM) <= 11.1.2 - Authenticated (Admin+) SQL Injection via 'order' and 'limit' Parameters

MEDIUM PLUGIN

optincraft

OptinCraft <= 1.2.0 - Authenticated (Administrator+) SQL Injection via 'order_by' Parameter

MEDIUM PLUGIN

photo-gallery

Photo Gallery by 10Web <= 1.8.41 - Authenticated (Contributor+) SQL Injection via 'compact_album_order_by' Shortcode Parameter

HIGH PLUGIN

gptranslate

GPTranslate – Multilingual AI Translation for WordPress: Automatically Translate Websites <= 2.32.6 - Unauthenticated SQL Injection

MEDIUM PLUGIN

photo-gallery

Photo Gallery by 10Web – Mobile-Friendly Image Gallery <= 1.8.41 - Authenticated (Contributor+) SQL Injection

MEDIUM PLUGIN

geo-mashup

Geo Mashup <= 1.13.19 - Authenticated (Subscriber+) SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto