Vulnerabilidad en Taskbuilder (CVE-2026-1639)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
18/02/2026
Última modificación:
18/02/2026
Descripción
El plugin Taskbuilder – WordPress Project Management & Task Management para WordPress es vulnerable a inyección SQL ciega basada en tiempo a través de los parámetros 'order' y 'sort_by' en todas las versiones hasta la 5.0.2, inclusive, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, añadan consultas SQL adicionales en consultas ya existentes que pueden utilizarse para extraer información sensible de la base de datos.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/taskbuilder/tags/5.0.2/includes/admin/projects/projects_list.php#L136
- https://plugins.trac.wordpress.org/browser/taskbuilder/tags/5.0.2/includes/admin/projects/projects_list.php#L138
- https://plugins.trac.wordpress.org/browser/taskbuilder/tags/5.0.2/includes/admin/projects/projects_list.php#L14
- https://www.wordfence.com/threat-intel/vulnerabilities/id/2cfdde5c-f0e3-4597-9789-3ff0347719c6?source=cve