Plataforma
wordpress
Componente
office-locator
Corregido en
1.3.1
Se ha descubierto una vulnerabilidad de inyección SQL en el componente Office Locator de WebbyTemplate. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a las versiones de Office Locator desde 0.0.0 hasta la 1.3.0, y se recomienda actualizar a la versión 1.3.1 para solucionar el problema.
La inyección SQL en Office Locator permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos subyacente. Esto podría resultar en la exfiltración de datos sensibles, como información de usuarios, datos de configuración o incluso la modificación de la base de datos. Un atacante podría obtener acceso no autorizado a información confidencial, alterar datos críticos o incluso tomar control del servidor. La severidad crítica de la vulnerabilidad (CVSS 9.3) indica un alto riesgo de explotación y un impacto significativo en la seguridad de la aplicación.
Esta vulnerabilidad fue publicada el 17 de abril de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas afectados en busca de signos de intrusión.
Websites utilizing the WebbyTemplate Office Locator plugin, particularly those with sensitive data stored within the plugin's database, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/office-locator/• generic web:
curl -I 'http://your-website.com/office-locator/?q=' # Check for SQL injection attempts in query parametersdisclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-32665 es actualizar Office Locator a la versión 1.3.1 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y sanitización rigurosa de todas las entradas del usuario. Implementar un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear ataques de inyección SQL puede proporcionar una capa adicional de protección. Revise y fortalezca las políticas de acceso a la base de datos para limitar los privilegios de las cuentas de usuario.
Actualice el plugin Office Locator a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de las entradas del usuario, para prevenir futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32665 is a critical SQL Injection vulnerability affecting WebbyTemplate Office Locator versions 0.0.0 through 1.3.0, allowing attackers to inject malicious SQL code.
If you are using WebbyTemplate Office Locator versions 0.0.0 to 1.3.0, you are potentially affected by this vulnerability. Upgrade immediately.
Upgrade WebbyTemplate Office Locator to version 1.3.1 or later to resolve this SQL Injection vulnerability. Consider WAF rules as an interim measure.
As of 2025-04-17, no active exploitation has been confirmed, but the high CVSS score indicates a potential for exploitation.
Refer to the WebbyTemplate website or plugin repository for the official advisory and release notes regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.