Plataforma
wordpress
Componente
wp_attractivedonationssystem
Corregido en
1.25.1
Se ha descubierto una vulnerabilidad de inyección SQL ciega en el plugin WP Attractive Donations System - Easy Stripe & Paypal donations para WordPress. Esta falla permite a un atacante inyectar comandos SQL maliciosos, potencialmente comprometiendo la integridad de la base de datos. Las versiones afectadas son desde la versión n/a hasta la 1.25 inclusive. Se recomienda actualizar el plugin a la versión corregida tan pronto como esté disponible.
La vulnerabilidad de inyección SQL ciega en WP Attractive Donations System permite a un atacante extraer información sensible de la base de datos, como credenciales de usuario, datos de donaciones y otra información confidencial. El atacante puede realizar consultas SQL para identificar la estructura de la base de datos y, posteriormente, extraer datos específicos. Aunque la inyección es ciega, lo que significa que el atacante no recibe una respuesta directa de cada consulta, la explotación persistente puede revelar información valiosa. Un ataque exitoso podría resultar en la pérdida de datos, la manipulación de la información y el compromiso de la integridad del sitio web.
La vulnerabilidad fue publicada el 5 de marzo de 2026. No se han reportado activamente campañas de explotación a gran escala, pero la alta puntuación CVSS (9.3) indica un riesgo significativo. La naturaleza ciega de la inyección SQL puede hacer que la explotación sea más lenta y compleja, pero no la hace menos peligrosa. Se recomienda monitorear la situación y aplicar las medidas de mitigación necesarias.
WordPress sites utilizing the WP Attractive Donations System plugin, particularly those running older, unpatched versions (0.0.0–1.25), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp_attractive_donations_system" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep wp_attractive_donations_system• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-attractive-donations-system/ | grep -i 'SQL Injection'disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP Attractive Donations System a la versión corregida tan pronto como esté disponible. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la base de datos y aplicar reglas de firewall para bloquear tráfico malicioso. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para detectar y bloquear intentos de inyección SQL. Monitorear los registros del servidor en busca de patrones sospechosos también puede ayudar a identificar y responder a posibles ataques.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28115 is a critical SQL Injection vulnerability affecting the WP Attractive Donations System WordPress plugin, allowing attackers to potentially extract sensitive data and compromise the site.
If you are using WP Attractive Donations System versions 0.0.0 through 1.25, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade to the latest version of the WP Attractive Donations System plugin as soon as a patch is released. Until then, disable the plugin or implement temporary workarounds like input validation.
While no active exploitation has been confirmed, the ease of exploitation associated with SQL injection suggests it is likely to be targeted soon.
Please refer to the vendor's website or WordPress plugin repository for the official advisory and patch release information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.