Plataforma
wordpress
Componente
scw-bus-seat-reservation
Corregido en
1.7.1
Se ha descubierto una vulnerabilidad de inyección SQL en el plugin Bus Ticket Booking with Seat Reservation para WooCommerce. Esta falla permite a atacantes inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a versiones desde 0 hasta 1.7, inclusive. Se recomienda actualizar a la versión 1.7.1 para mitigar el riesgo.
La inyección SQL permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos del sitio web. Esto puede resultar en la extracción de información sensible, como credenciales de usuario, datos de clientes y detalles de transacciones. En escenarios más graves, un atacante podría modificar o eliminar datos, o incluso tomar el control completo del servidor. La vulnerabilidad es particularmente peligrosa en entornos de comercio electrónico, donde la información financiera es crítica. La capacidad de ejecutar comandos SQL arbitrarios abre la puerta a una amplia gama de ataques, incluyendo la manipulación de datos, la denegación de servicio y la escalada de privilegios.
Esta vulnerabilidad ha sido publicada el 2025-05-23. No se ha reportado explotación activa a la fecha. La severidad es CRÍTICA debido al potencial impacto en la confidencialidad, integridad y disponibilidad de los datos. Se recomienda monitorear la situación y aplicar las medidas de mitigación lo antes posible.
Websites using the Bus Ticket Booking with Seat Reservation for WooCommerce plugin, particularly those running vulnerable versions (0–1.7), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others. Sites that handle sensitive user data, such as payment information, are at the highest risk.
• wordpress / composer / npm:
grep -r "scw-bus-seat-reservation" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep "Bus Ticket Booking with Seat Reservation"• wordpress / composer / npm:
wp plugin list --status=active | grep "Bus Ticket Booking with Seat Reservation"• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status "Bus Ticket Booking with Seat Reservation"disclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Bus Ticket Booking with Seat Reservation para WooCommerce a la versión 1.7.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para filtrar las solicitudes maliciosas que contienen código SQL. Además, revise y fortalezca las consultas SQL existentes para evitar la inyección de código. Después de la actualización, verifique la integridad de la base de datos y monitoree los registros del servidor en busca de actividad sospechosa.
Actualice el plugin 'Bus Ticket Booking with Seat Reservation for WooCommerce' a la última versión disponible para solucionar la vulnerabilidad de inyección SQL. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Realice copias de seguridad de su sitio web antes de realizar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-31397 is a critical SQL Injection vulnerability affecting versions 0 through 1.7 of the Bus Ticket Booking with Seat Reservation for WooCommerce plugin, allowing attackers to potentially access and manipulate the WordPress database.
You are affected if you are using Bus Ticket Booking with Seat Reservation for WooCommerce versions 0 through 1.7. Check your plugin version and upgrade immediately.
Upgrade the Bus Ticket Booking with Seat Reservation for WooCommerce plugin to version 1.7.1 or later. If upgrading is not possible, implement temporary WAF rules and restrict database user permissions.
While there are currently no confirmed active exploitation campaigns, the vulnerability's severity and ease of exploitation suggest a high probability of future attacks.
Refer to the official WooCommerce security advisory and the plugin developer's website for updates and further information regarding CVE-2025-31397.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.