Plataforma
wordpress
Componente
exact-links
Corregido en
3.0.8
El plugin URL Shortener para WordPress es vulnerable a una inyección SQL. Esta vulnerabilidad, presente en versiones desde 0.0.0 hasta 3.0.7, permite a atacantes no autenticados inyectar código SQL malicioso a través del parámetro ‘analytic_id’. El impacto es la posible extracción de información sensible almacenada en la base de datos del sitio WordPress. Se recomienda actualizar el plugin a la versión corregida lo antes posible.
La inyección SQL en el plugin URL Shortener para WordPress permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos del sitio web. Esto podría resultar en la exfiltración de datos confidenciales como nombres de usuario, contraseñas, información de clientes, o incluso el código fuente del sitio. Un atacante podría modificar datos, eliminar registros o incluso tomar el control completo de la base de datos. La falta de autenticación necesaria para explotar esta vulnerabilidad amplía significativamente el riesgo, ya que cualquier usuario externo podría potencialmente aprovecharla. Esta vulnerabilidad es similar en impacto a otras inyecciones SQL que han comprometido bases de datos de WordPress en el pasado, permitiendo el robo de información y la manipulación de datos.
La vulnerabilidad CVE-2025-10738 fue publicada el 13 de diciembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Es probable que esta vulnerabilidad sea objeto de escaneo automatizado y posible explotación por parte de atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
WordPress websites utilizing the URL Shortener Plugin For WordPress, particularly those running older, unpatched versions (0.0.0–3.0.7), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "SELECT * FROM wp_options WHERE option_name = 'analytic_id'" /var/www/html/wp-content/plugins/url-shortener-plugin-for-wordpress/*• generic web:
curl -I 'https://your-wordpress-site.com/?analytic_id='; # Check for unusual SQL syntax in the response headers• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'url-shortener-plugin-for-wordpress'• wordpress / composer / npm:
wp plugin list --status=active | grep 'url-shortener-plugin-for-wordpress'disclosure
Estado del Exploit
EPSS
0.10% (27% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin URL Shortener para WordPress a la versión corregida, una vez que esté disponible. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción de acceso a la base de datos, la implementación de un firewall de aplicaciones web (WAF) que filtre las solicitudes maliciosas, y la revisión del código del plugin para identificar y corregir posibles vulnerabilidades. Además, se recomienda monitorear los registros del servidor en busca de actividad sospechosa, como intentos de inyección SQL. Una vez aplicada la actualización, verifique que la vulnerabilidad ha sido resuelta ejecutando una prueba de penetración en el plugin.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-10738 is a critical SQL Injection vulnerability affecting versions 0.0.0–3.0.7 of the URL Shortener Plugin For WordPress, allowing attackers to extract data.
If you are using the URL Shortener Plugin For WordPress version 0.0.0 through 3.0.7, you are potentially affected and should upgrade immediately.
Upgrade to the latest patched version of the plugin as soon as it becomes available. Disable the plugin as a temporary workaround until the patch is applied.
While no active exploitation has been confirmed, the high severity and ease of exploitation suggest a high likelihood of exploitation in the near future.
Check the plugin developer's website and WordPress.org plugin page for updates and security advisories related to CVE-2025-10738.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.