Plataforma
wordpress
Componente
revisionary
Corregido en
3.7.24
La vulnerabilidad CVE-2026-32539 es una inyección SQL ciega detectada en el plugin PublishPress Revisions para WordPress. Esta falla permite a un atacante inyectar comandos SQL maliciosos, potencialmente comprometiendo la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones del plugin desde n/a hasta la 3.7.23, siendo corregida en la versión 3.7.24. Se recomienda actualizar el plugin inmediatamente.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress. Aunque la inyección es 'ciega', lo que significa que el atacante no recibe respuestas directas de la base de datos, aún puede inferir información sobre la estructura y el contenido de la base de datos a través de técnicas de prueba y error. Esto podría resultar en la exfiltración de información sensible como nombres de usuario, contraseñas hasheadas, datos de clientes, contenido confidencial y otra información crítica almacenada en la base de datos. La falta de autenticación requerida para explotar la vulnerabilidad amplía el potencial de daño, permitiendo a atacantes no autenticados comprometer el sitio web.
La vulnerabilidad fue publicada el 2026-03-25. No se ha reportado explotación activa a la fecha, pero la severidad crítica de la vulnerabilidad y la naturaleza ciega de la inyección SQL la convierten en un objetivo atractivo para atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación. La falta de un PoC público no implica que la vulnerabilidad no sea explotable.
WordPress sites utilizing PublishPress Revisions plugin, particularly those running older versions (prior to 3.7.24), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable. Sites that store sensitive user data within the WordPress database are at the highest risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/publishpress-revisions/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=revisionary_get_revisions&post_id=1 2>&1 | grep SQL• wordpress / composer / npm:
wp plugin list --status=all | grep publishpress-revisionsdisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
Vector CVSS
La mitigación principal para CVE-2026-32539 es actualizar PublishPress Revisions a la versión 3.7.24 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio antes de actualizar y probar la actualización en un entorno de staging. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para filtrar consultas SQL sospechosas dirigidas a los endpoints afectados. Monitorear los logs de WordPress en busca de patrones de inyección SQL también puede ayudar a detectar intentos de explotación.
Actualizar a la versión 3.7.24, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32539 is a critical SQL Injection vulnerability affecting PublishPress Revisions versions up to 3.7.23, allowing attackers to potentially extract sensitive data through Blind SQL Injection.
You are affected if you are using PublishPress Revisions version 3.7.23 or earlier. Immediately check your plugin version and upgrade if necessary.
Upgrade PublishPress Revisions to version 3.7.24 or later to resolve the vulnerability. Consider temporary mitigations like WAF rules if immediate upgrade is not possible.
While no active exploitation has been publicly confirmed, the critical severity and nature of Blind SQL Injection suggest a high potential for exploitation.
Refer to the official PublishPress security advisory on their website for detailed information and updates regarding CVE-2026-32539.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.