Plataforma
wordpress
Componente
profile-builder-pro
Corregido en
3.14.0
La vulnerabilidad CVE-2026-27413 es una inyección SQL ciega descubierta en el plugin Profile Builder Pro de Cozmoslabs. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente extrayendo información sensible de la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.14.0. Una actualización a la versión 3.14.0 corrige esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad de inyección SQL ciega podría obtener acceso no autorizado a la base de datos de WordPress donde está instalado Profile Builder Pro. Aunque la inyección es ciega, lo que significa que el atacante no recibe respuestas directas de la base de datos, pueden inferir información a través de pruebas y respuestas indirectas. Esto permite la extracción de nombres de usuario, contraseñas, información de perfil y otros datos almacenados en la base de datos. La explotación exitosa podría resultar en la exposición de información confidencial, la manipulación de datos y, potencialmente, el control total del sitio web WordPress.
La vulnerabilidad CVE-2026-27413 fue publicada el 19 de marzo de 2026. Actualmente no hay información disponible sobre campañas de explotación activas o la existencia de un proof-of-concept (PoC) público. La severidad de la vulnerabilidad es crítica (CVSS 9.3), lo que indica un alto riesgo de explotación si no se mitiga. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
WordPress websites utilizing Profile Builder Pro, particularly those running versions prior to 3.14.0, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a successful attack on one site could potentially compromise others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/profile-builder-pro/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=profile-builder-pro-settings&action=test_db_connection | grep SQL• wordpress / composer / npm:
wp plugin list --status=active | grep profile-builder-prodisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-27413 es actualizar Profile Builder Pro a la versión 3.14.0 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se pueden implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que contengan patrones de inyección SQL. Además, revise y fortalezca las políticas de seguridad de la base de datos, incluyendo el uso de contraseñas seguras y la limitación de los privilegios de acceso. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando una inyección SQL básica en el área vulnerable y verificando que no se produzca ninguna extracción de datos.
Actualizar a la versión 3.14.0 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27413 is a critical SQL Injection vulnerability affecting Profile Builder Pro versions 0.0.0–3.14.0, allowing attackers to extract data via blind SQL injection.
You are affected if you are using Profile Builder Pro versions 0.0.0 through 3.14.0. Upgrade immediately to mitigate the risk.
Upgrade Profile Builder Pro to version 3.14.0 or later. If upgrading is not possible, implement WAF rules and sanitize user inputs.
While no public exploits are currently known, the vulnerability's nature makes exploitation likely. Monitor your systems for suspicious activity.
Refer to the Cozmoslabs website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.