Plataforma
wordpress
Componente
chatlive
Corregido en
2.0.2
La vulnerabilidad CVE-2025-27302 es una inyección SQL detectada en CHATLIVE, un plugin de WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo la integridad y confidencialidad de la base de datos. Las versiones afectadas son desde 0.0.0 hasta la 2.0.1, y la solución es actualizar a la versión 2.0.2.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress donde reside CHATLIVE. Esto podría resultar en la extracción de información sensible como nombres de usuario, contraseñas, datos de clientes o cualquier otra información almacenada en la base de datos. Además, el atacante podría modificar o eliminar datos, o incluso ejecutar comandos en el servidor subyacente, dependiendo de los permisos de la cuenta de base de datos utilizada por CHATLIVE. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad del sistema.
La vulnerabilidad fue publicada el 17 de abril de 2025. No se ha reportado explotación activa a la fecha, pero la alta puntuación CVSS (9.3) indica un alto riesgo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La falta de un PoC público no disminuye la necesidad de aplicar la mitigación.
Websites utilizing the CHATLIVE WordPress plugin, particularly those handling sensitive user data or relying on the plugin for critical functionality, are at significant risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if they haven't applied the patch.
• wordpress / composer / npm:
grep -r "CHATLIVE" /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/CHATLIVE/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep CHATLIVEdisclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-27302 es actualizar CHATLIVE a la versión 2.0.2 o superior, que incluye la corrección para esta inyección SQL. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa de la base de datos y los archivos del sitio web antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para filtrar consultas SQL sospechosas. Monitoree los logs de acceso y error de WordPress en busca de patrones de inyección SQL, como caracteres especiales inusuales en las consultas.
Actualice el plugin CHATLIVE a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de las entradas del usuario, para prevenir futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-27302 is a critical SQL Injection vulnerability affecting the CHATLIVE WordPress plugin, allowing attackers to inject malicious SQL code and potentially access sensitive data.
If you are using CHATLIVE version 0.0.0 through 2.0.1 on your WordPress site, you are vulnerable to this SQL Injection vulnerability.
Upgrade the CHATLIVE plugin to version 2.0.2 or later to resolve the vulnerability. If immediate upgrade is not possible, disable the plugin temporarily.
While no confirmed active exploitation has been reported, the CRITICAL severity suggests a high probability of exploitation if the vulnerability remains unpatched.
Refer to the CHATLIVE plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.