CVE-2026-1258

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

14/02/2026

Última modificación:

14/02/2026

Descripción

*** Pendiente de traducción *** The Mail Mint plugin for WordPress is vulnerable to blind SQL Injection via the &#39;forms&#39;, &#39;automation&#39;, &#39;email/templates&#39;, and &#39;contacts/import/tutorlms/map&#39; API endpoints in all versions up to, and including, 1.19.2 . This is due to insufficient escaping on the user supplied &#39;order-by&#39;, &#39;order-type&#39;, and &#39;selectedCourses&#39; parameters and lack of sufficient preparation on the existing SQL queries. This makes it possible for authenticated attackers, with administrator level access and above, to append additional SQL queries into already existing queries.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.90

Gravedad 3.x

MEDIA

CVE-2026-1258

Descripción

Impacto

Referencias a soluciones, herramientas e información