Plataforma
wordpress
Componente
js-jobs
Corregido en
2.0.3
Se ha descubierto una vulnerabilidad de inyección SQL en JS Job Manager, una extensión para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.0.2, y se ha publicado una corrección en la versión 2.0.3.
La inyección SQL en JS Job Manager permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto puede resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos de clientes y contenido confidencial. Un atacante también podría modificar o eliminar datos, comprometiendo la funcionalidad del sitio web. En escenarios más graves, la inyección SQL podría permitir al atacante obtener acceso completo al servidor y ejecutar código malicioso, lo que podría llevar a la toma de control del sitio web y sus datos. Esta vulnerabilidad es particularmente peligrosa debido a su alta severidad y la facilidad con la que puede ser explotada.
Esta vulnerabilidad ha sido publicada públicamente el 17 de abril de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. Sin embargo, dada la facilidad de explotación de las inyecciones SQL y la alta severidad de la vulnerabilidad, es probable que sea objeto de escaneo y explotación por parte de atacantes. La disponibilidad de un Proof of Concept (PoC) público podría acelerar su explotación.
WordPress websites utilizing the JS Job Manager plugin, particularly those running versions 0.0.0 through 2.0.2, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially affect others.
• wordpress / composer / npm:
grep -r "js-jobs" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep js-jobs• generic web: Check for unusual database activity in WordPress error logs, specifically looking for SQL errors or unexpected query patterns. • generic web: Review WordPress access logs for suspicious requests targeting JS Job Manager endpoints.
disclosure
Estado del Exploit
EPSS
0.24% (47% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar JS Job Manager a la versión 2.0.3 o superior, que incluye la corrección para la inyección SQL. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para filtrar consultas SQL maliciosas. También es recomendable revisar y fortalecer las políticas de seguridad de la base de datos, incluyendo la limitación de privilegios de acceso y la validación de entradas de usuario. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando una inyección SQL básica en un campo vulnerable.
Actualice el plugin JS Job Manager a la versión 2.0.3 o superior para mitigar la vulnerabilidad de inyección SQL. Verifique que todas las entradas de usuario se saniticen y escapen correctamente para prevenir futuros ataques. Considere implementar un firewall de aplicaciones web (WAF) para una capa adicional de protección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32626 is a critical SQL Injection vulnerability affecting JS Job Manager versions 0.0.0 through 2.0.2, allowing attackers to inject malicious SQL code.
You are affected if your WordPress site uses JS Job Manager version 0.0.0 to 2.0.2. Check your plugin versions immediately.
Upgrade JS Job Manager to version 2.0.3 or later to resolve the vulnerability. Consider WAF rules as an interim measure.
While no public exploits are currently available, the high CVSS score and ease of SQL Injection suggest potential for exploitation. Monitor for updates.
Refer to the official JS Job Manager website or WordPress plugin repository for the latest security advisory and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.