Plataforma
wordpress
Componente
social-share-and-social-locker-arsocial
Corregido en
1.4.3
La vulnerabilidad CVE-2025-31911 es una inyección SQL ciega detectada en el plugin Social Share And Social Locker de reputeinfosystems. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados. Afecta a las versiones desde la n/a hasta la 1.4.2, y se ha solucionado en la versión 1.4.3.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos del sitio WordPress. La inyección SQL ciega permite extraer información sensible de la base de datos a través de consultas SQL, aunque no se muestren directamente los resultados. Esto podría incluir credenciales de usuario, información personal, datos de configuración y otros datos críticos. El atacante podría utilizar esta información para realizar ataques de escalada de privilegios, robo de datos o incluso tomar control del sitio web. La naturaleza ciega de la inyección dificulta la detección, ya que no hay respuestas directas que revelar la explotación, lo que aumenta el riesgo de compromiso silencioso.
Esta vulnerabilidad fue publicada el 3 de abril de 2025. No se ha reportado su inclusión en el KEV de CISA ni se conocen campañas de explotación activas a la fecha. La naturaleza ciega de la inyección SQL podría dificultar su detección, pero la alta puntuación CVSS (9.3) indica un riesgo significativo si no se mitiga.
WordPress websites utilizing the Social Share And Social Locker plugin, particularly those running versions 0 through 1.4.2, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "reputeinfosystems/social-share-and-social-locker" wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "Social Share And Social Locker"• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/social-share-and-social-locker/ | grep -i "SQL"• generic web: Review WordPress access logs for unusual SQL query patterns originating from the plugin’s endpoints.
disclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Social Share And Social Locker a la versión 1.4.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida de seguridad adicional, implemente un firewall de aplicaciones web (WAF) para filtrar tráfico malicioso y bloquear intentos de inyección SQL. Revise regularmente los registros del servidor y la base de datos en busca de patrones sospechosos que puedan indicar un intento de explotación. Implementar una validación y sanitización robusta de todas las entradas de usuario es crucial para prevenir futuras vulnerabilidades de inyección SQL.
Actualice el plugin Social Share And Social Locker a la última versión disponible para mitigar la vulnerabilidad de inyección SQL ciega. Verifique las actualizaciones en el repositorio de WordPress o contacte al desarrollador para obtener más información sobre la versión corregida. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de las entradas del usuario, para prevenir futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-31911 is a critical SQL Injection vulnerability affecting versions 0–1.4.2 of the Social Share And Social Locker WordPress plugin, allowing attackers to extract data via blind SQL injection.
If your WordPress site uses Social Share And Social Locker version 0 through 1.4.2, you are vulnerable to this SQL Injection flaw. Upgrade immediately.
Upgrade the Social Share And Social Locker plugin to version 1.4.3 or later to resolve this vulnerability. If upgrading is not possible, temporarily disable the plugin.
As of now, there are no confirmed active exploitation campaigns targeting CVE-2025-31911, but the blind SQL injection nature makes exploitation possible.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information regarding CVE-2025-31911.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.