Plataforma
wordpress
Componente
directorist-booking
Corregido en
3.0.2
La vulnerabilidad CVE-2026-22336 es una falla de inyección SQL detectada en el plugin Directorist Booking para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de la base de datos. Afecta a las versiones desde 0.0.0 hasta la 3.0.2. Se ha lanzado una actualización a la versión 3.0.2 para solucionar este problema.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress, permitiéndole leer, modificar o eliminar datos sensibles. Esto podría incluir información de usuarios, detalles de reservas, datos de pago y otra información confidencial. La inyección SQL también podría ser utilizada para ejecutar comandos arbitrarios en el servidor, permitiendo al atacante tomar el control completo del sitio web. La severidad crítica de esta vulnerabilidad la convierte en un riesgo significativo para cualquier sitio web que utilice Directorist Booking.
Esta vulnerabilidad fue publicada el 27 de abril de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear activamente los sistemas afectados.
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-22336 es actualizar Directorist Booking a la versión 3.0.2 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se recomienda implementar reglas de firewall (WAF) o proxies que filtren las solicitudes HTTP en busca de patrones de inyección SQL. Monitoree los registros de la base de datos en busca de consultas SQL sospechosas.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22336 is a critical SQL Injection vulnerability affecting Directorist Booking versions 0.0.0–3.0.2, allowing attackers to inject malicious SQL code and potentially compromise the database.
You are affected if you are using Directorist Booking versions 0.0.0 through 3.0.2. Immediately check your plugin version and upgrade if necessary.
Upgrade Directorist Booking to version 3.0.2 or later. If immediate upgrade is not possible, implement input validation and parameterized queries as temporary mitigations.
There is currently no public evidence of CVE-2026-22336 being actively exploited, but the critical severity warrants immediate attention and remediation.
Refer to the official Directorist Booking website and WordPress plugin repository for the latest security advisory and update information regarding CVE-2026-22336.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.