Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Booking for Appointments and Events Calendar – Amelia <= 2.4.3 - Authenticated (Custom+) SQL Injection via Customer Import en Ameliabooking (inyeccion SQL) - version 2.4.4

PLUGIN MEDIUM CVE-2026-14782

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Amelia Booking, afectando a las versiones hasta la 2.4.3. Esta falla permite a usuarios autenticados ejecutar consultas SQL maliciosas, lo que podría comprometer la integridad de la base de datos.

Contexto técnico

El fallo se presenta en la funcionalidad de importación de clientes del plugin, donde un atacante autenticado puede manipular las entradas para ejecutar código SQL no autorizado. La exposición se da al interactuar con las funciones de importación sin la validación adecuada.

Impacto potencial

El impacto en la seguridad puede ser significativo, permitiendo a un atacante acceder a información sensible almacenada en la base de datos. Esto puede resultar en la pérdida de datos o en la modificación no autorizada de registros, afectando la confianza de los usuarios y la reputación del negocio.

Vector de explotación

La explotación se realiza mediante la manipulación de datos durante el proceso de importación de clientes, donde se inyectan comandos SQL en los campos de entrada.

Mitigación recomendada

Actualizar el plugin Amelia Booking a la versión 2.4.4 o superior. Revisar y limpiar las entradas de datos en el proceso de importación para prevenir inyecciones SQL. Implementar medidas de seguridad adicionales como la validación de entradas y el uso de consultas preparadas.

Señales de detección

Monitorear los logs de acceso y errores para detectar intentos de inyección SQL, así como revisar cambios no autorizados en la base de datos.

Alcance afectado

Las versiones afectadas son todas las versiones de Amelia Booking hasta la 2.4.3. No se han confirmado escenarios adicionales fuera de estas versiones.

Vulnerabilidades relacionadas

HIGH PLUGIN

ameliabooking

Booking for Appointments and Events Calendar – Amelia <= 2.4.2 - Unauthenticated SQL Injection

MEDIUM PLUGIN

ameliabooking

Amelia <= 2.1.2 - Authenticated (Manager+) SQL Injection via 'sort' Parameter

MEDIUM PLUGIN

ameliabooking

Amelia <= 2.1.1 - Authenticated (Custom role+) SQL Injection

HIGH PLUGIN

ameliabooking

Booking for Appointments and Events Calendar – Amelia <= 1.2.35 - Unauthenticated SQL Injection via search

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad