Saltar al contenido

Fuente base de datos: Wordfence Intelligence

iNET Webkit 1.2.4 - Authenticated (Contributor+) SQL Injection (inyeccion SQL)

PLUGIN MEDIUM CVE-2026-57752

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin iNET Webkit versión 1.2.4, que afecta a usuarios autenticados con rol de colaborador o superior. Esta falla puede comprometer la integridad de la base de datos, lo que podría tener repercusiones operativas significativas.

Contexto técnico

El fallo se presenta en el manejo de entradas en el plugin iNET Webkit, permitiendo a usuarios autenticados realizar consultas SQL maliciosas. La superficie de ataque se centra en formularios o interfaces donde se procesan datos sin la debida validación.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la exposición de datos sensibles y manipulación de la base de datos, afectando la confianza del usuario y la estabilidad del negocio. La severidad se clasifica como media, con un CVSS de 6.5, lo que indica un riesgo moderado.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes manipuladas a través de formularios o APIs del plugin, lo que podría resultar en la ejecución de comandos SQL no autorizados.

Mitigación recomendada

Actualizar el plugin iNET Webkit a la versión 1.2.4 o superior para corregir la vulnerabilidad. Revisar y reforzar las validaciones de entrada en todos los puntos de entrada de datos del plugin. Implementar medidas de monitoreo para detectar accesos no autorizados o actividades sospechosas.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales en las solicitudes que interactúan con el plugin, así como errores SQL en los registros de errores del servidor.

Alcance afectado

La vulnerabilidad afecta a la versión 1.2.4 del plugin iNET Webkit. No se han confirmado otros escenarios o versiones afectadas.

Vulnerabilidades relacionadas

HIGH PLUGIN

eventer

Eventer <= 4.4.2 - Unauthenticated SQL Injection via 'code' Parameter

MEDIUM PLUGIN

recurio

Recurio <= 1.1.3 - Authenticated (Shop Manager+) SQL Injection via 'data' Parameter

HIGH PLUGIN

tainacan

Tainacan <= 1.0.3 - Unauthenticated SQL Injection via 'geoquery' REST API Parameter

HIGH PLUGIN

my-calendar

My Calendar <= 3.7.8 - Unauthenticated SQL Injection via 'mc_auth' and 'mc_host' Parameters

MEDIUM PLUGIN

woo-advanced-shipment-tracking

Advanced Shipment Tracking for WooCommerce <= 4.0 - Authenticated (Shop manager+) SQL Injection

MEDIUM PLUGIN

wp-inventory-manager

WP Inventory Manager <= 2.4.0 - Authenticated (Contributor+) SQL Injection

MEDIUM PLUGIN

wp-easycart

Shopping Cart & eCommerce Store <= 5.9.1 - Authenticated (Contributor+) SQL Injection

MEDIUM PLUGIN

gd-rating-system

GD Rating System <= 3.7 - Authenticated (Contributor+) SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad