Plataforma
wordpress
Componente
wp-businessdirectory
Corregido en
3.1.6
Se ha descubierto una vulnerabilidad de inyección SQL en el plugin WordPress WP-BusinessDirectory de CMSJunkie. Esta falla permite a un atacante inyectar código SQL malicioso, lo que podría resultar en la extracción de datos sensibles de la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.1.4, y se ha lanzado una actualización (versión 3.1.5) para corregirla.
La inyección SQL en WP-BusinessDirectory permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto puede llevar a la extracción de información confidencial, como nombres de usuario, contraseñas, datos de clientes y otra información personal. En un escenario de ataque, un atacante podría explotar esta vulnerabilidad para obtener acceso completo al sitio web, modificar datos, o incluso tomar control del servidor. La naturaleza 'ciega' de la inyección SQL implica que el atacante debe inferir la información a través de respuestas, lo que puede requerir más tiempo, pero no impide la extracción de datos sensibles. Esta vulnerabilidad es similar en impacto a otras inyecciones SQL que han comprometido bases de datos en el pasado, permitiendo el robo de datos y la manipulación del sistema.
La vulnerabilidad CVE-2025-24759 ha sido publicada el 2025-07-16. No se ha confirmado la adición a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción, pero la severidad crítica (CVSS 9.3) sugiere un riesgo significativo. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección SQL la hace susceptible a la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Websites using the WP-BusinessDirectory plugin, particularly those running older versions (0.0.0–3.1.4), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others. Sites that haven't implemented robust input validation and output encoding practices are also at increased risk.
• wordpress / composer / npm:
grep -r "wp-businessdirectory" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep wp-businessdirectory• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-businessdirectory/readme.txt | grep Versiondisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin WP-BusinessDirectory a la versión 3.1.5 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación temporales. Estas medidas incluyen la aplicación de reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en los parámetros de entrada. También se puede considerar la implementación de una validación y sanitización más rigurosa de las entradas del usuario en el código del plugin. Monitorear los logs del servidor en busca de patrones de inyección SQL (consultas SQL inusuales o errores relacionados con la base de datos) puede ayudar a detectar intentos de explotación. Después de la actualización, confirme la corrección ejecutando pruebas de penetración o utilizando herramientas de escaneo de vulnerabilidades.
Actualizar a la versión 3.1.5, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24759 is a CRITICAL SQL Injection vulnerability affecting the CMSJunkie WP-BusinessDirectory WordPress plugin, allowing attackers to potentially extract sensitive data.
If you are using WP-BusinessDirectory versions 0.0.0 through 3.1.4, you are affected by this vulnerability. Upgrade to 3.1.5 or later immediately.
Upgrade the WP-BusinessDirectory plugin to version 3.1.5 or later. Consider implementing a WAF rule to block suspicious SQL injection attempts as a temporary workaround.
There is currently no evidence of active exploitation, but the severity and nature of the vulnerability suggest it could be targeted in the future.
Refer to the CMSJunkie website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.