Vulnerabilidad en plugin My Sticky Bar para WordPress (CVE-2026-3657)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
12/03/2026
Última modificación:
12/03/2026
Descripción
El plugin My Sticky Bar para WordPress es vulnerable a inyección SQL a través de la acción AJAX 'stickymenu_contact_lead_form' en todas las versiones hasta la 2.8.6, inclusive. Esto se debe a que el gestor utiliza nombres de parámetros POST controlados por el atacante directamente como identificadores de columna SQL en '$wpdb->insert()'. Si bien los valores de los parámetros se sanean con 'esc_sql()' y 'sanitize_text_field()', las claves de los parámetros se utilizan tal cual para construir la lista de columnas en la sentencia INSERT. Esto hace posible que atacantes no autenticados inyecten SQL a través de nombres de parámetros manipulados, lo que permite la extracción ciega de datos basada en tiempo de la base de datos.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/mystickymenu/tags/2.8.6/mystickymenu.php#L2001
- https://plugins.trac.wordpress.org/browser/mystickymenu/tags/2.8.6/mystickymenu.php#L2386
- https://plugins.trac.wordpress.org/browser/mystickymenu/tags/2.8.6/mystickymenu.php#L2396
- https://plugins.trac.wordpress.org/browser/mystickymenu/trunk/mystickymenu.php#L2386
- https://plugins.trac.wordpress.org/changeset?old_path=/mystickymenu/tags/2.8.6&new_path=/mystickymenu/tags/2.8.7
- https://www.wordfence.com/threat-intel/vulnerabilities/id/05d633f5-151a-4462-a6a0-5a638d7c3404?source=cve