Plataforma
wordpress
Componente
products-rearrange-woocommerce
Corregido en
1.2.3
Se ha descubierto una vulnerabilidad de inyección SQL ciega en el plugin Product Rearrange for WooCommerce, afectando a versiones anteriores o iguales a 1.2.2. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad fue publicada el 25 de marzo de 2026 y se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
La inyección SQL ciega permite a un atacante extraer información sensible de la base de datos de WordPress de forma gradual, sin recibir respuestas directas del servidor. Esto puede incluir credenciales de usuario, información de productos, datos de clientes y otra información confidencial. Un atacante podría utilizar esta vulnerabilidad para obtener acceso no autorizado a la base de datos, modificar datos, o incluso tomar control del sitio web. Aunque la inyección es ciega, la persistencia y la capacidad de probar diferentes consultas hacen que la explotación sea factible, especialmente en entornos con configuraciones de seguridad débiles.
La vulnerabilidad CVE-2026-31920 se ha hecho pública el 25 de marzo de 2026. Actualmente no se dispone de información sobre campañas de explotación activas o la inclusión en el KEV de CISA. La naturaleza ciega de la inyección SQL puede dificultar la detección, pero la alta puntuación CVSS indica un riesgo significativo. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
Websites using the Product Rearrange for WooCommerce plugin, particularly those running older, unpatched versions (n/a through 1.2.2), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "product_rearrange_woocommerce" /var/www/html/wp-content/plugins/
wp plugin list | grep product_rearrange_woocommerce• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/product-rearrange-woocommerce/ | grep -i 'product-rearrange-woocommerce'disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
Vector CVSS
La mitigación principal es actualizar el plugin Product Rearrange for WooCommerce a la última versión disponible, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la base de datos, aplicar un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear inyecciones SQL, y revisar cuidadosamente las consultas SQL generadas por el plugin. Además, se recomienda monitorear los registros del servidor en busca de patrones sospechosos que puedan indicar un intento de explotación. Después de la actualización, confirme la mitigación revisando los logs del servidor y realizando pruebas de penetración básicas.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-31920 is a critical SQL Injection vulnerability affecting Product Rearrange for WooCommerce versions up to 1.2.2, allowing attackers to potentially extract data from the database.
If you are using Product Rearrange for WooCommerce versions prior to the patched version (currently unknown), you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade to the latest version of Product Rearrange for WooCommerce as soon as a patch is released. Until then, disable the plugin or implement input validation and WAF rules.
While no active exploitation has been confirmed, the vulnerability's severity and the nature of blind SQL injection suggest it is a high-priority target for attackers.
Refer to the official Product Rearrange for WooCommerce website or the WooCommerce plugin repository for updates and security advisories related to CVE-2026-31920.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.