Vulnerabilidad en Shield Security (CVE-2026-0722)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
19/02/2026
Última modificación:
19/02/2026
Descripción
El plugin Shield Security para WordPress es vulnerable a la falsificación de petición en sitios cruzados en todas las versiones hasta, e incluyendo, la 21.0.8. Esto se debe a que el plugin permite que la verificación de nonce sea eludida a través de un parámetro proporcionado por el usuario en la función isNonceVerifyRequired. Esto hace posible que atacantes no autenticados ejecuten ataques de inyección SQL, extrayendo información sensible de la base de datos, a través de una petición falsificada siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-simple-firewall/tags/21.0.8/src/lib/src/ActionRouter/Actions/BaseAction.php#L125
- https://plugins.trac.wordpress.org/browser/wp-simple-firewall/tags/21.0.8/src/lib/src/ActionRouter/CaptureAjaxAction.php#L42
- https://plugins.trac.wordpress.org/browser/wp-simple-firewall/tags/21.0.8/src/lib/src/Tables/DataTables/LoadData/Traffic/BuildTrafficTableData.php#L114
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3439494%40wp-simple-firewall&new=3439494%40wp-simple-firewall
- https://research.cleantalk.org/cve-2026-0722/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/f53d9579-56e9-41aa-b6b7-2472734ee719?source=cve