CVE-2026-22850

Nome do Software Vulnerável e Versões Afetadas Koko Analytics versões anteriores à 2.1.3

Descrição O Koko Analytics, um plugin de análise de código aberto para WordPress, é suscetível à execução arbitrária de SQL devido à exportação/importação de dados analíticos sem escape e à importação SQL administrativa permissiva. Visitantes não autenticados podem enviar valores arbitrários para pa (caminho) e r (referência) ao endpoint público de rastreamento em src/Resources/functions/collect.php, os quais são armazenados diretamente nas tabelas de análise. A lógica de exportação administrativa em src/Admin/Data Export.php grava esses valores armazenados em instruções SQL INSERT sem escape adequado. Um caminho elaborado, como "),('999','x');DROP TABLE wp users;--", pode sair da lista de valores. Ao importar o arquivo exportado, o manipulador de importação em src/Admin/Data Import.php lê o arquivo SQL usando file get contents, realiza uma verificação básica de cabeçalho, divide o conteúdo por ponto e vírgula e executa cada instrução por meio de $wpdb->query sem validar nomes de tabelas ou tipos de instrução. Usuários autenticados com privilégios manage koko analytics também podem enviar arquivos .sql arbitrários para execução da mesma maneira permissiva. Isso permite que entradas controladas por atacantes fluam do endpoint de rastreamento para o SQL exportado e através da execução de importação, ou diretamente por meio de uploads maliciosos, possibilitando a execução arbitrária de SQL. Os atacantes poderiam, potencialmente, excluir tabelas principais como wp users ou inserir contas de administrador com backdoor.

Recomendações As versões anteriores à 2.1.3 devem ser atualizadas para a versão 2.1.3 ou posterior.