Plataforma
wordpress
Componente
wordpress
Corregido en
2.3.1
La vulnerabilidad CVE-2023-54359 es una inyección SQL ciega basada en tiempo descubierta en el plugin adivaha Travel para WordPress, versión 2.3. Esta falla permite a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través del parámetro 'pid' en la ruta /mobile-app/v3/. La explotación exitosa puede resultar en la extracción de información confidencial o la interrupción del servicio.
Un atacante puede explotar esta vulnerabilidad para ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Al manipular el parámetro 'pid' con cargas útiles basadas en XOR, el atacante puede extraer datos sensibles como nombres de usuario, contraseñas, información de clientes o cualquier otra información almacenada en la base de datos. La inyección SQL ciega basada en tiempo requiere múltiples solicitudes para determinar la respuesta, lo que puede ser lento, pero aún así permite la extracción completa de datos. Además, el atacante podría utilizar la inyección SQL para modificar o eliminar datos, o incluso para ejecutar comandos del sistema operativo subyacente, dependiendo de la configuración del servidor y los permisos de la base de datos. Esta vulnerabilidad es particularmente preocupante porque afecta a un plugin popular, lo que significa que muchos sitios web podrían ser susceptibles.
La vulnerabilidad CVE-2023-54359 fue publicada el 2026-04-09. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección SQL ciega basada en tiempo la hace explotable con herramientas automatizadas. La falta de una versión corregida disponible aumenta el riesgo de explotación.
Estado del Exploit
EPSS
0.08% (24% percentil)
Vector CVSS
La mitigación inmediata para CVE-2023-54359 es deshabilitar o eliminar el plugin adivaha Travel hasta que se publique una versión corregida. Si la actualización no es posible de inmediato, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan inyecciones SQL en el parámetro 'pid'. Específicamente, busque patrones de inyección SQL comunes, como UNION SELECT, OR 1=1, y funciones de manipulación de cadenas. Además, se recomienda revisar y fortalecer la seguridad de la base de datos, incluyendo la aplicación de contraseñas seguras y la limitación de los permisos de acceso a la base de datos. Una vez aplicada la actualización, verifique la corrección de la vulnerabilidad intentando enviar una solicitud con una carga útil de inyección SQL al endpoint /mobile-app/v3/ y confirmando que la solicitud es bloqueada o que la consulta SQL no se ejecuta.
Actualice el plugin adivaha Travel a la última versión disponible para mitigar la vulnerabilidad de inyección SQL ciega basada en tiempo. Si no hay una versión actualizada disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización segura.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-54359 is a HIGH severity SQL Injection vulnerability affecting the adivaha Travel Plugin for WordPress. It allows unauthenticated attackers to manipulate database queries via the 'pid' GET parameter, potentially leading to data theft or denial of service.
You are affected if you are using the adivaha Travel Plugin for WordPress in a version prior to 2.4. Check your plugin version and upgrade immediately if necessary.
Upgrade the adivaha Travel Plugin to version 2.4 or later. As a temporary workaround, implement a WAF rule to filter suspicious requests to the /mobile-app/v3/ endpoint.
Currently, there are no publicly known active campaigns exploiting this vulnerability, but its ease of exploitation makes it a potential target.
Refer to the official adivaha Travel Plugin website and the WordPress plugin repository for updates and advisories related to CVE-2023-54359.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.