Vulnerabilidad en WP Job Portal para WordPress (CVE-2026-4306)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
23/03/2026
Última modificación:
24/03/2026
Descripción
El plugin WP Job Portal para WordPress es vulnerable a una inyección SQL a través del parámetro 'radius' en todas las versiones hasta la 2.4.8, incluida esta, debido a un escape insuficiente del parámetro proporcionado por el usuario y a una preparación insuficiente de la consulta SQL existente. Esto permite que atacantes no autenticados añadan consultas SQL adicionales a consultas ya existentes, lo que puede utilizarse para extraer información confidencial de la base de datos.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-job-portal/tags/2.4.7/includes/ajax.php#L10
- https://plugins.trac.wordpress.org/browser/wp-job-portal/tags/2.4.7/modules/job/model.php#L2743
- https://plugins.trac.wordpress.org/changeset?old_path=/wp-job-portal/tags/2.4.8&new_path=/wp-job-portal/tags/2.4.9
- https://www.wordfence.com/threat-intel/vulnerabilities/id/ecc34552-c9b0-455f-b1c7-b31cc847cb22?source=cve