CVE-2026-1250: SQL Injection en Court Reservation WordPress Plugin
Plataforma
wordpress
Componente
court-reservation
Corregido en
1.10.12
El plugin Court Reservation – Manage Your Court Bookings Online para WordPress presenta una vulnerabilidad de inyección SQL (SQL Injection) debido a la falta de sanitización adecuada de la entrada del usuario en el parámetro ‘id’. Esta falla permite a atacantes no autenticados inyectar consultas SQL adicionales en las consultas existentes, comprometiendo la seguridad de la base de datos. Las versiones afectadas son todas hasta la 1.10.11, y la solución es actualizar a la versión 1.10.12.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad puede ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto podría resultar en la extracción de información confidencial, como nombres de usuario, contraseñas, datos de clientes, información de reservas y cualquier otro dato almacenado en la base de datos. En un escenario de ataque, un atacante podría obtener acceso completo a la base de datos, modificar datos, insertar código malicioso o incluso tomar control del sitio web. La severidad de este impacto se agrava si la base de datos contiene información personal identificable (PII), lo que podría resultar en violaciones de privacidad y cumplimiento normativo.
Contexto de Explotación
La vulnerabilidad CVE-2026-1250 fue publicada el 12 de mayo de 2026. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de la inyección SQL la convierte en un objetivo atractivo para atacantes. La probabilidad de explotación se considera media debido a la facilidad de ejecución de ataques de inyección SQL y la amplia disponibilidad de herramientas y técnicas. Se recomienda monitorear los registros del servidor y la base de datos en busca de actividad sospechosa.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.06% (20% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Ninguno — sin impacto en integridad.
- Availability
- Ninguno — sin impacto en disponibilidad.
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para esta vulnerabilidad es actualizar el plugin Court Reservation a la versión 1.10.12 o superior, que incluye la corrección de la inyección SQL. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas que bloqueen solicitudes con patrones de inyección SQL en el parámetro ‘id’. Además, revise y fortalezca las políticas de seguridad de la base de datos, asegurándose de que los permisos de acceso sean lo más restrictivos posible.
Cómo corregirlo
Actualizar a la versión 1.10.12, o una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2026-1250 — SQL Injection en Court Reservation WordPress Plugin?
CVE-2026-1250 es una vulnerabilidad de inyección SQL en el plugin Court Reservation para WordPress, que permite a atacantes extraer información sensible de la base de datos.
Am I affected by CVE-2026-1250 en Court Reservation WordPress Plugin?
Si está utilizando el plugin Court Reservation en versiones anteriores a 1.10.12, es vulnerable a esta inyección SQL.
How do I fix CVE-2026-1250 en Court Reservation WordPress Plugin?
Actualice el plugin Court Reservation a la versión 1.10.12 o superior para corregir la vulnerabilidad.
Is CVE-2026-1250 being actively exploited?
Aunque no se ha reportado explotación activa, la naturaleza de la inyección SQL la convierte en un objetivo potencial para atacantes.
Where can I find the official Court Reservation advisory for CVE-2026-1250?
Consulte la página de WordPress Plugins para obtener la información más reciente: [https://wordpress.org/plugins/court-reservation/](https://wordpress.org/plugins/court-reservation/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...