CVE-2026-7619: SQL Injection en Charitable WordPress Plugin
Plataforma
wordpress
Componente
charitable
Corregido en
1.8.10.5
El plugin Charitable – Donation Plugin for WordPress – Fundraising with Recurring Donations & More presenta una vulnerabilidad de SQL Injection. Esta falla permite a atacantes autenticados, con privilegios de edición de donaciones, inyectar consultas SQL adicionales en las existentes, comprometiendo la integridad de la base de datos. Las versiones afectadas son desde 1.0.0 hasta la 1.8.10.4, siendo la versión 1.8.10.5 la que corrige esta vulnerabilidad.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad podría extraer información sensible de la base de datos de WordPress, incluyendo datos de donantes, información de transacciones y posiblemente credenciales de usuario. La inyección SQL permite la manipulación de consultas, lo que podría llevar a la modificación o eliminación de datos, o incluso a la ejecución de comandos arbitrarios en el servidor, dependiendo de la configuración del entorno. Aunque requiere autenticación, el acceso al área de administración de donaciones es relativamente sencillo de obtener, ampliando el potencial de impacto. La falta de sanitización adecuada de la entrada del usuario en el parámetro 's' es la causa principal de la vulnerabilidad.
Contexto de Explotación
La vulnerabilidad CVE-2026-7619 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media (EPSS score pendiente de evaluación). No se han reportado campañas activas conocidas que exploten esta vulnerabilidad, pero la naturaleza de la SQL Injection la convierte en un objetivo atractivo para atacantes. Es importante monitorear los sistemas afectados y aplicar las mitigaciones necesarias lo antes posible.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Ninguno — sin impacto en integridad.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
Mitigación y Workarounds
La solución principal es actualizar el plugin Charitable a la versión 1.8.10.5 o superior, que incluye la corrección de la vulnerabilidad de SQL Injection. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la restricción del acceso al área de administración de donaciones a usuarios con privilegios mínimos y la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes con patrones de inyección SQL sospechosos. Es crucial revisar y fortalecer las políticas de seguridad de la base de datos, asegurando que los usuarios de la base de datos tengan los permisos mínimos necesarios. Después de la actualización, confirme la corrección revisando los logs del servidor en busca de intentos de inyección SQL.
Cómo corregirlo
Actualizar a la versión 1.8.10.5, o una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2026-7619 — SQL Injection en Charitable WordPress Plugin?
CVE-2026-7619 es una vulnerabilidad de SQL Injection en el plugin Charitable para WordPress, que permite a atacantes autenticados extraer datos sensibles de la base de datos. Afecta a versiones desde 1.0.0 hasta 1.8.10.4.
Am I affected by CVE-2026-7619 en Charitable WordPress Plugin?
Si está utilizando el plugin Charitable para WordPress en una versión anterior a 1.8.10.5, es probable que esté afectado por esta vulnerabilidad. Verifique la versión del plugin en su panel de administración de WordPress.
How do I fix CVE-2026-7619 en Charitable WordPress Plugin?
La solución recomendada es actualizar el plugin Charitable a la versión 1.8.10.5 o superior. Si no puede actualizar inmediatamente, aplique medidas de mitigación temporales como restringir el acceso y usar un WAF.
Is CVE-2026-7619 being actively exploited?
Aunque no se han reportado campañas activas conocidas, la naturaleza de la SQL Injection la convierte en un objetivo potencial. Es importante aplicar las mitigaciones lo antes posible.
Where can I find the official Charitable advisory for CVE-2026-7619?
Consulte el sitio web oficial de Charitable o el repositorio de WordPress para obtener la información más reciente sobre la vulnerabilidad y la actualización disponible: [https://wordpress.org/plugins/charitable/](https://wordpress.org/plugins/charitable/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...