Plataforma
wordpress
Componente
exact-links
Corregido en
3.0.8
La vulnerabilidad CVE-2025-28959 es una inyección SQL detectada en el componente URL Shortener de Md Yeasin Ul Haider. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados. Afecta a las versiones desde 0.0.0 hasta la 3.0.7, siendo crucial aplicar la actualización o implementar medidas de mitigación.
La inyección SQL en URL Shortener permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente. Esto podría resultar en la extracción de información sensible, como credenciales de usuario, datos personales o información de configuración. Un atacante podría modificar datos, eliminar registros o incluso tomar el control completo de la base de datos. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial daño que puede causar, similar a ataques que han comprometido bases de datos en aplicaciones web.
La vulnerabilidad CVE-2025-28959 fue publicada el 16 de julio de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
WordPress websites utilizing the URL Shortener plugin, particularly those running older versions (0.0.0–3.0.7), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose the databases of others.
• wordpress / composer / npm:
grep -r "Md Yeasin Ul Haider URL Shortener" /var/www/html/
wp plugin list | grep "URL Shortener"• generic web:
curl -I https://your-wordpress-site.com/exact-links/ | grep SQLdisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar URL Shortener a la versión 3.0.8, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la validación y sanitización exhaustiva de todas las entradas de usuario, la implementación de una Web Application Firewall (WAF) con reglas para detectar y bloquear inyecciones SQL, y la restricción de los privilegios de la cuenta de base de datos utilizada por la aplicación. Después de la actualización, confirme la mitigación ejecutando pruebas de penetración para verificar que la vulnerabilidad ha sido resuelta.
Actualice el plugin URL Shortener a una versión corregida. Consulte las notas de la versión del plugin para obtener instrucciones específicas sobre cómo aplicar la actualización y mitigar la vulnerabilidad de inyección SQL.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-28959 is a critical SQL Injection vulnerability affecting the URL Shortener WordPress plugin, allowing attackers to inject malicious SQL code.
You are affected if you are using URL Shortener versions 0.0.0 through 3.0.7. Upgrade to 3.0.8 or later to mitigate the risk.
Upgrade the URL Shortener plugin to version 3.0.8 or later. Consider implementing WAF rules and input sanitization as interim measures.
While no public exploits are currently known, the ease of SQL injection suggests a high probability of exploitation if left unpatched.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.