Plataforma
wordpress
Componente
wpchurch
Corregido en
2.7.1
Se ha descubierto una vulnerabilidad de inyección SQL ciega en WPCHURCH, un plugin para WordPress. Esta falla permite a un atacante inyectar comandos SQL maliciosos, potencialmente comprometiendo la integridad y confidencialidad de los datos almacenados. La vulnerabilidad afecta a las versiones desde n/a hasta 2.7.0, y ha sido solucionada en la versión 2.7.1.
La inyección SQL ciega permite a un atacante, aunque sin recibir respuesta directa de cada consulta, inferir información sobre la base de datos. Esto puede incluir la extracción de nombres de tablas, columnas, y datos sensibles como nombres de usuario, contraseñas encriptadas, información de clientes, y detalles de transacciones. Un atacante podría usar esta vulnerabilidad para obtener acceso no autorizado a la base de datos, modificar datos, o incluso ejecutar comandos del sistema operativo subyacente, dependiendo de la configuración del servidor. La falta de retroalimentación directa hace que la detección sea más difícil, pero el impacto potencial es significativo.
La vulnerabilidad CVE-2025-32303 fue publicada el 7 de enero de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. La naturaleza ciega de la inyección SQL podría dificultar la detección de la explotación, pero la alta puntuación CVSS indica un riesgo significativo si no se mitiga.
Websites utilizing WPCHURCH, particularly those running older, unpatched versions (n/a - 2.7.0), are at significant risk. Shared hosting environments where multiple websites share the same database are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/wpchurch/• generic web:
curl -I https://your-wpchurch-site.com/index.php?page=some_parameter&value=$(sql_injection_payload)• database (mysql):
SELECT @@version FROM information_schema.version;• wordpress / composer / npm:
wp plugin list --status=all | grep wpchurch• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/wpchurch/ -type f -name '*.php' -print0 | xargs -0 grep -i 'mysql_query'disclosure
Estado del Exploit
EPSS
0.04% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar WPCHURCH a la versión 2.7.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa de la base de datos y los archivos del sitio web antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas que bloqueen consultas SQL sospechosas. Además, revise y fortalezca las políticas de seguridad de la base de datos, asegurándose de que los usuarios de la base de datos tengan los privilegios mínimos necesarios. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando inyectar una consulta SQL simple y verificando que no se ejecute.
Actualice el plugin WPCHURCH a una versión corregida (superior a 2.7.0) para mitigar la vulnerabilidad de inyección SQL ciega. Consulte las notas de la versión del plugin para obtener instrucciones específicas de actualización y asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32303 is a critical SQL Injection vulnerability affecting WPCHURCH versions before 2.7.1, allowing attackers to potentially extract or modify data.
If you are using WPCHURCH versions from n/a up to and including 2.7.0, you are vulnerable to this SQL Injection flaw.
Upgrade WPCHURCH to version 2.7.1 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the high severity warrants immediate action.
Refer to the official WPCHURCH website or Joomla extension directory for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.