CVE-2026-39531 9.3 CRITICAL
Inyección SQL no autenticada en el plugin WP Directory Kit que permite a atacantes inyectar SQL arbitrario a través de un parámetro de la petición que llega a la capa de base de datos sin sanitización ni sentencias preparadas.
| Producto | WP Directory Kit |
|---|---|
| Versiones Afectadas | ≤ 1.5.0 |
| Versión Corregida | 1.5.1 |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
| CWE | CWE-89 (Neutralización incorrecta de elementos especiales utilizados en un comando SQL (inyección SQL)) |
| Publicado | 2026-04-13 |
| Instalaciones activas | 3,000+ |
Descripción
El plugin WP Directory Kit para WordPress es vulnerable a inyección SQL en todas las versiones hasta la 1.5.0 incluida. Un parámetro 'filter_ids' controlado por el usuario se interpola dentro de una cláusula IN solo con esc_sql(), que escapa comillas pero no restringe el valor a contenido numérico. El mismo patrón aparece en tres métodos del controlador Wdk_frontendajax, todos accesibles a través del dispatcher de frontend sin autenticación, así que cualquier atacante remoto puede romper la cláusula IN y leer datos de tablas arbitrarias en la base de datos de WordPress, incluidas filas fuera del ámbito del propio plugin.
Impacto
Un atacante no autenticado puede exfiltrar datos sensibles de la base de datos de WordPress, incluidos usuarios, hashes de contraseñas, tokens de sesión y cualquier tabla personalizada creada por otros plugins. Combinado con técnicas de extracción lenta, el fallo es directamente explotable en campañas automatizadas de explotación masiva contra sitios vulnerables.