Vulnerabilidad en flippercode (CVE-2026-3222)

El plugin WP Maps para WordPress es vulnerable a inyección SQL ciega basada en tiempo a través del parámetro 'location_id' en todas las versiones hasta, e incluyendo, la 4.9.1. Esto se debe a que la capa de abstracción de base de datos del plugin (`FlipperCode_Model_Base::is_column()`) trata la entrada del usuario envuelta en comillas invertidas como nombres de columna, omitiendo la función de escape `esc_sql()`. Además, el gestor AJAX `wpgmp_ajax_call` (registrado para usuarios no autenticados a través de `wp_ajax_nopriv`) permite llamar a métodos de clase arbitrarios, incluyendo `wpgmp_return_final_capability`, que pasa el parámetro GET `location_id` sin sanitizar directamente a una consulta de base de datos. Esto hace posible que atacantes no autenticados añadan consultas SQL adicionales a consultas ya existentes que pueden ser usadas para extraer información sensible de la base de datos.