Plataforma
wordpress
Componente
gym-management
Corregido en
65.0.1
Se ha descubierto una vulnerabilidad de inyección SQL ciega en el plugin WPGYM para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente extrayendo información sensible de la base de datos. La vulnerabilidad afecta a las versiones de WPGYM desde n/a hasta la 65.0. Una actualización a la versión 67.8.0 o superior resuelve el problema.
La inyección SQL ciega permite a un atacante, aunque de forma lenta y laboriosa, descubrir la estructura de la base de datos y extraer datos confidenciales. Esto puede incluir nombres de usuario, contraseñas, información de clientes, datos de transacciones y cualquier otra información almacenada en la base de datos. Un atacante podría utilizar esta información para obtener acceso no autorizado al sistema, robar datos o incluso modificar la base de datos. La naturaleza ciega de la inyección SQL implica que el atacante no recibe retroalimentación directa de cada consulta, lo que dificulta la detección, pero no la imposibilidad.
La vulnerabilidad fue publicada el 16 de mayo de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para atacantes. Es recomendable monitorear los registros del servidor y la base de datos en busca de actividad sospechosa. La vulnerabilidad no se encuentra en el KEV de CISA al momento de esta redacción.
Websites utilizing the WPGYM plugin, particularly those running older versions (prior to 67.8.0), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites that store sensitive user data through WPGYM are at the highest risk of data compromise.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/wpgym/• wordpress / composer / npm:
wp plugin list --status=all | grep wpgym• wordpress / composer / npm:
wp plugin update wpgym --all• generic web: Check WordPress plugin directory for discussions about CVE-2025-32643 and potential exploitation attempts.
disclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WPGYM a la versión 67.8.0 o superior. Si la actualización no es inmediatamente posible, implementar reglas de Web Application Firewall (WAF) para bloquear consultas SQL sospechosas. Estas reglas deben buscar patrones comunes de inyección SQL y filtrar el tráfico malicioso. Además, revisar y endurecer la configuración de la base de datos para limitar los privilegios de acceso y reducir el impacto potencial de una explotación exitosa. Después de la actualización, confirmar la corrección ejecutando pruebas de penetración o utilizando herramientas de escaneo de vulnerabilidades.
Actualizar a la versión 67.8.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32643 is a critical SQL Injection vulnerability affecting the WPGYM WordPress plugin, allowing attackers to potentially extract data from the database.
You are affected if you are using WPGYM versions prior to 67.8.0. Immediately check your plugin version and upgrade if necessary.
Upgrade the WPGYM plugin to version 67.8.0 or later. Consider implementing a WAF rule as a temporary mitigation if upgrading is not immediately possible.
While no active exploitation has been confirmed, the vulnerability's severity and the nature of blind SQL injection suggest a high likelihood of future exploitation.
Refer to the WPGYM plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.