Plataforma
wordpress
Componente
webd-woocommerce-advanced-reporting-statistics
Corregido en
4.1.4
La vulnerabilidad CVE-2026-24993 es una inyección SQL ciega detectada en el plugin Advanced WooCommerce Product Sales Reporting de WPFactory. Esta falla permite a un atacante inyectar comandos SQL maliciosos, comprometiendo potencialmente la confidencialidad de los datos almacenados en la base de datos. Afecta a las versiones desde 0.0.0 hasta la 4.1.3, y se ha solucionado en la versión 4.1.4.
Un atacante que explote esta vulnerabilidad puede ejecutar consultas SQL arbitrarias en la base de datos del sitio web WooCommerce. Aunque la inyección es 'ciega', lo que significa que el atacante no recibe respuestas directas de las consultas, aún puede extraer información sensible mediante técnicas de inferencia. Esto podría incluir datos de clientes, información de pedidos, detalles de productos y otros datos confidenciales almacenados en la base de datos. La explotación exitosa podría resultar en la filtración de datos, modificación de la base de datos o incluso la toma de control del sitio web, dependiendo de los permisos de la cuenta de base de datos utilizada por el plugin. Este tipo de vulnerabilidad, aunque ciega, puede ser explotada con herramientas automatizadas para realizar escaneos exhaustivos de la base de datos.
La vulnerabilidad CVE-2026-24993 fue publicada el 25 de marzo de 2026. No se ha añadido a la lista KEV de CISA ni se ha reportado explotación activa a la fecha. La naturaleza ciega de la inyección SQL podría dificultar la detección, pero la alta puntuación CVSS indica un riesgo significativo si no se mitiga. Se recomienda monitorear activamente los sistemas afectados.
WooCommerce store owners using the Advanced WooCommerce Product Sales Reporting plugin, particularly those running versions 0.0.0 through 4.1.3, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "WPFactory Advanced WooCommerce Product Sales Reporting" /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/advanced-woocommerce-product-sales-reporting/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep advanced-woocommerce-product-sales-reportingdisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Advanced WooCommerce Product Sales Reporting a la versión 4.1.4 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la restricción de los permisos de la cuenta de base de datos utilizada por el plugin, limitando el acceso a las tablas y columnas críticas. Además, se pueden configurar reglas en un firewall de aplicaciones web (WAF) para bloquear patrones de tráfico sospechosos que intenten inyectar código SQL. Es crucial monitorear los registros del servidor y la base de datos en busca de actividad inusual que pueda indicar un intento de explotación.
Actualizar a la versión 4.1.4 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24993 is a critical SQL Injection vulnerability affecting Advanced WooCommerce Product Sales Reporting versions 0.0.0–4.1.3, allowing attackers to potentially extract sensitive data.
If you are using Advanced WooCommerce Product Sales Reporting versions 0.0.0 through 4.1.3, you are vulnerable to this SQL Injection flaw.
Upgrade to version 4.1.4 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WPFactory website and the WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.