Vulnerabilidad en Koko Analytics (CVE-2026-22850)

Koko Analytics es un plugin de análisis de código abierto para WordPress. Las versiones anteriores a la 2.1.3 son vulnerables a la ejecución arbitraria de SQL debido a la exportación/importación de datos analíticos sin escapar y a una importación de SQL administrativa poco restrictiva. Los visitantes no autenticados pueden enviar valores arbitrarios de ruta (`pa`) y de origen (`r`) al punto final de seguimiento público en src/Resources/functions/collect.php, que almacena esas cadenas tal cual en las tablas de análisis. La lógica de exportación de administración en src/Admin/Data_Export.php escribe estos valores almacenados directamente en sentencias SQL INSERT sin escapar. Una ruta manipulada como "),(“999”,'x'); "DROP TABLE wp_users;--" se sale de la lista de valores. Cuando un administrador importa posteriormente ese archivo de exportación, el controlador de importación en src/Admin/Data_Import.php lee el SQL cargado con file_get_contents, realiza solo una comprobación superficial del encabezado, divide por puntos y coma, y ejecuta cada instrucción mediante $wpdb->query sin validar los nombres de las tablas ni los tipos de instrucción. Además, cualquier usuario autenticado con el permiso manage_koko_analytics puede subir un archivo .sql arbitrario y hacer que se ejecute de la misma manera permisiva. En conjunto, las entradas controladas por el atacante fluyen desde el punto final de seguimiento hacia el SQL exportado y a través del canal de ejecución de la importación, o directamente mediante subidas maliciosas, lo que permite la ejecución arbitraria de SQL. En el peor de los casos, los atacantes pueden ejecutar código SQL arbitrario en la base de datos de WordPress, lo que les permitiría eliminar tablas fundamentales (por ejemplo, wp_users), crear cuentas de administrador con puertas traseras o llevar a cabo otras acciones destructivas o de escalada de privilegios. La versión 2.1.3 corrige este problema.