CVE-2026-39511 9.3 CRITICAL
Inyección SQL no autenticada en el plugin WP Photo Album Plus que permite a atacantes inyectar SQL arbitrario a través de un parámetro de la petición que se interpola en una consulta a la base de datos sin sentencias preparadas ni escapado adecuado.
| Producto | WP Photo Album Plus |
|---|---|
| Versiones Afectadas | ≤ 9.1.08.001 |
| Versión Corregida | 9.1.08.002 |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
| CWE | CWE-89 (Neutralización incorrecta de elementos especiales utilizados en un comando SQL (inyección SQL)) |
| Publicado | 2026-04-13 |
| Instalaciones activas | 10,000+ |
Descripción
El plugin WP Photo Album Plus para WordPress es vulnerable a inyección SQL en todas las versiones hasta la 9.1.08.001 incluida. Un parámetro controlado por el usuario, procesado por el plugin, acaba en una consulta SQL construida mediante concatenación de cadenas en lugar de usar wpdb::prepare() con los marcadores correctos. Dado que el punto de entrada afectado no requiere autenticación, atacantes remotos pueden inyectar sintaxis SQL, alterar la intención de la consulta y extraer datos de cualquier tabla de la base de datos de WordPress.
Impacto
Un atacante no autenticado puede leer datos arbitrarios de la base de datos de WordPress, incluidos registros de usuarios, hashes de contraseñas, secretos almacenados en la tabla de opciones y cualquier contenido guardado por otros plugins. El fallo se presta a explotación automatizada sobre las aproximadamente diez mil instalaciones activas del plugin.