Vulnerabilidad en Apocalypse Meow (CVE-2026-3523)

El plugin Apocalypse Meow para WordPress es vulnerable a inyecciones SQL a través del parámetro «type» en todas las versiones hasta la 22.1.0, incluida esta. Esto se debe a un operador lógico defectuoso en la comprobación de validación de tipo en la línea 261 de ajax.php: la condición utiliza «&&» (AND) en lugar de «||» (OR), lo que provoca que la validación «in_array()» se acorte y nunca se evalúe para ningún valor de tipo no vacío. En combinación con la llamada a `stripslashes_deep()` en la línea 101, que elimina la protección `wp_magic_quotes()`, las comillas simples controladas por el atacante pasan sin escapar a la consulta SQL de la línea 298. Esto permite a los atacantes autenticados, con acceso de nivel administrador o superior, añadir consultas SQL adicionales a las consultas ya existentes, que pueden utilizarse para extraer información confidencial de la base de datos.