Plataforma
wordpress
Componente
torod
Corregido en
2.1.1
Se ha identificado una vulnerabilidad de inyección SQL en Torod, un software para la gestión de información tecnológica. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.1, y se ha proporcionado una solución en la versión 1.9.1.
La inyección SQL en Torod permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente. Esto podría resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos financieros o cualquier otra información almacenada en la base de datos. Un atacante también podría modificar o eliminar datos, o incluso tomar control del servidor de la base de datos. La severidad crítica de esta vulnerabilidad se debe a la facilidad con la que se puede explotar y el potencial daño que puede causar. La falta de validación adecuada de las entradas del usuario permite la inyección de código SQL, similar a vulnerabilidades encontradas en otros sistemas de gestión de contenido que no implementan medidas de seguridad robustas.
La vulnerabilidad CVE-2025-30936 ha sido publicada el 2025-07-16. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.3) indica un alto riesgo. Es importante implementar las medidas de mitigación lo antes posible para evitar posibles ataques. No se ha listado en el KEV de CISA al momento de la redacción.
WordPress websites utilizing the Torod component are at risk, particularly those running older versions (0.0.0–2.1). Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from other sites on the same server. Sites with weak database user permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "SELECT.*FROM" /var/www/html/wp-content/plugins/torod/*• generic web:
curl -I https://example.com/torod/vulnerable_endpoint?param='; DROP TABLE users; --• wordpress / composer / npm:
wp plugin list --status=inactive | grep torod• wordpress / composer / npm:
wp plugin update toroddisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Torod a la versión 1.9.1 o superior, donde se ha corregido la falla de inyección SQL. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas del usuario y el uso de consultas parametrizadas para evitar la inyección de código. Además, se recomienda revisar y fortalecer las políticas de seguridad de la base de datos, incluyendo el uso de contraseñas seguras y la limitación de los privilegios de acceso. Después de la actualización, confirme la corrección ejecutando pruebas de penetración para verificar que la vulnerabilidad ha sido eliminada.
Actualice el plugin Torod a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las actualizaciones del plugin en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-30936 is a critical SQL Injection vulnerability affecting Torod versions 0.0.0 through 2.1, allowing attackers to manipulate database queries and potentially access sensitive data.
If your WordPress site uses Torod version 0.0.0 to 2.1, you are affected. Check your plugin versions and upgrade immediately.
Upgrade Torod to version 1.9.1 or later. If upgrading is not possible, implement a WAF rule to filter malicious SQL injection attempts.
While no active exploitation has been confirmed, the high CVSS score and ease of exploitation suggest it is a likely target. Continuous monitoring is recommended.
Refer to the official Torod project website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.