Plataforma
wordpress
Componente
click-pledge-connect
Corregido en
6.8.1
La vulnerabilidad CVE-2025-28983 es una inyección SQL detectada en Click & Pledge Connect, un plugin para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, lo que puede resultar en la escalada de privilegios y el acceso no autorizado a datos sensibles. Afecta a las versiones desde 25.04010101 hasta WP6.8. Se recomienda actualizar a la versión 6.8.1 para solucionar el problema.
Un atacante que explote esta vulnerabilidad de inyección SQL podría obtener acceso no autorizado a la base de datos de WordPress, comprometiendo la confidencialidad e integridad de la información. Esto incluye la posibilidad de leer, modificar o eliminar datos, así como ejecutar comandos arbitrarios en el servidor. La escalada de privilegios podría permitir al atacante tomar control total del sitio web y sus sistemas subyacentes. La severidad crítica de la vulnerabilidad (CVSS 9.8) indica un riesgo significativo de explotación y un impacto potencialmente devastador.
Actualmente no se dispone de información pública sobre campañas de explotación activas para CVE-2025-28983. Sin embargo, dada la severidad de la vulnerabilidad y la facilidad de explotación de las inyecciones SQL, es probable que sea objeto de escaneo y explotación por parte de actores maliciosos. La vulnerabilidad fue publicada el 2025-07-04. Se recomienda monitorear de cerca los sistemas afectados y aplicar las mitigaciones lo antes posible.
Websites utilizing Click & Pledge Connect versions 25.04010101 through WP6.8 are at significant risk. Specifically, sites with weak database security configurations or those running on shared hosting environments are particularly vulnerable, as they may lack the necessary controls to detect and prevent SQL injection attacks.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/click-and-pledge-connect/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=click-and-pledge-connect-admin | grep SQL• database (mysql):
mysql -e "SHOW TABLES LIKE 'clickandpledge%';" -u your_db_user -p• wordpress / composer / npm:
wp plugin list | grep click-and-pledge-connectdisclosure
Estado del Exploit
EPSS
0.06% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-28983 es actualizar Click & Pledge Connect a la versión 6.8.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para filtrar las solicitudes maliciosas que intentan explotar la vulnerabilidad. Revise los registros de acceso y error del servidor en busca de patrones sospechosos que puedan indicar un intento de explotación.
Actualice el plugin Click & Pledge Connect a una versión corregida. Consulte las notas de la versión del plugin o el sitio web del desarrollador para obtener instrucciones específicas sobre cómo actualizar y mitigar la vulnerabilidad de inyección SQL.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-28983 is a critical SQL Injection vulnerability affecting Click & Pledge Connect, allowing attackers to inject malicious SQL code and potentially gain unauthorized access.
You are affected if you are using Click & Pledge Connect versions 25.04010101 through WP6.8. Upgrade to 6.8.1 to resolve the issue.
Upgrade Click & Pledge Connect to version 6.8.1 or later. Consider implementing a WAF as an interim measure.
While no active exploitation has been publicly confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future attacks.
Refer to the official Click & Pledge Connect website and security advisory page for the latest information and updates regarding CVE-2025-28983.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.