CVE-2026-4661 in WP CTA Plugininformación

Resumen

por VulDB • 2026-07-11

El plugin WP CTA – Sticky CTA Builder, Generate Leads, Promote Sales para WordPress es vulnerable a una inyección SQL ciega basada en tiempo (time-based blind SQL Injection) a través del parámetro 'fildname' en todas las versiones hasta la 2.2.2 incluida. Esto se debe al escape insuficiente de los nombres de columnas proporcionados por el usuario en el método ajaxCheck() y a la falta de preparación (preparation) en la llamada $wpdb->update(). La vulnerabilidad se ve agravada por la ausencia total de comprobaciones de autorización y porque el endpoint está registrado para usuarios no autenticados mediante wp_ajax_nopriv_. Esto permite que atacantes no autenticados inyecten consultas SQL arbitrarias y extraigan información sensible desde la base de datos utilizando técnicas de time-based blind SQL Injection, incluyendo los hashes de las contraseñas de administrador.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Wordfence

Reservar

2026-03-23

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377770

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!