Saltar al contenido

Fuente base de datos: Wordfence Intelligence

JoomSport <= 5.7.9 - Authenticated (Contributor+) SQL Injection via 'event' Shortcode Attribute en Joomsport Sports League Results Management (inyeccion SQL) - version 5.7.10

PLUGIN MEDIUM CVE-2026-13010

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL autenticada en el plugin JoomSport, afectando a versiones hasta la 5.7.9. Este fallo puede permitir a usuarios con rol de colaborador y superiores ejecutar consultas SQL maliciosas, comprometiendo la integridad de la base de datos.

Contexto técnico

La vulnerabilidad se encuentra en el manejo del atributo 'event' del shortcode del plugin JoomSport. Un atacante autenticado con permisos de colaborador o superiores puede manipular este atributo para inyectar código SQL, afectando la base de datos del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, permitiendo a un atacante acceder y modificar datos sensibles, lo que podría derivar en pérdidas económicas y reputacionales para la organización. La severidad se clasifica como media, con un CVSS de 6.5.

Vector de explotación

La explotación de este fallo se lleva a cabo mediante la modificación del shortcode 'event' en las publicaciones, lo que permite la ejecución de consultas SQL no autorizadas.

Mitigación recomendada

Actualizar el plugin JoomSport a la versión 5.7.10 o superior para corregir la vulnerabilidad. Revisar los permisos de los usuarios y limitar el acceso a roles que no sean necesarios. Implementar medidas de seguridad adicionales, como un firewall de aplicaciones web (WAF), para mitigar riesgos futuros.

Señales de detección

Señales de posible explotación incluyen registros de consultas SQL inusuales en la base de datos y cambios inesperados en los datos de eventos gestionados por el plugin.

Alcance afectado

Las versiones del plugin JoomSport hasta la 5.7.9 están afectadas. La versión 5.7.10 y posteriores no presentan esta vulnerabilidad.

Vulnerabilidades relacionadas

HIGH PLUGIN

joomsport-sports-league-results-management

JoomSport <= 5.7.7 - Unauthenticated SQL Injection via 'sortf' Parameter

HIGH PLUGIN

joomsport-sports-league-results-management

JoomSport – for Sports: Team & League, Football, Hockey & more <= 5.7.7 - Unauthenticated SQL Injection

CRITICAL PLUGIN

joomsport-sports-league-results-management

JoomSport <= 5.2.7 - Unauthenticated SQL Injection

HIGH PLUGIN

joomsport-sports-league-results-management

JoomSport – for Sports: Team & League, Football, Hockey & more <= 5.2.5 - Authenticated (Admin+) SQL Injection via orderby

HIGH PLUGIN

joomsport-sports-league-results-management

JoomSport – for Sports: Team & League, Football, Hockey & more <= 5.2.5 - Authentciated (Admin+) SQL Injection via orderby

CRITICAL PLUGIN

joomsport-sports-league-results-management

JoomSport – for Sports: Team & League, Football, Hockey & more < 3.4 - SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad