Plataforma
wordpress
Componente
analyticswp
Corregido en
2.1.3
Se ha identificado una vulnerabilidad de inyección SQL en el plugin AnalyticsWP. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones desde n/a hasta 2.1.2, y se ha lanzado una actualización a la versión 2.1.3 para solucionar el problema.
La inyección SQL en AnalyticsWP permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto podría resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos de clientes, o incluso la modificación o eliminación de datos. Un atacante podría obtener acceso completo al sitio web y a los datos asociados. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad de los datos.
La vulnerabilidad CVE-2025-39389 fue publicada el 19 de mayo de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un PoC público podría facilitar la explotación de esta vulnerabilidad.
Websites using the AnalyticsWP plugin, particularly those running older, unpatched versions (prior to 2.1.3), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/analyticswp/• wordpress / composer / npm:
wp plugin list | grep analyticswp• wordpress / composer / npm:
wp plugin update analyticswp• generic web: Check for unusual database activity in WordPress error logs, specifically queries containing SQL injection keywords like 'UNION SELECT', 'OR 1=1', or 'DROP TABLE'.
disclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar AnalyticsWP a la versión 2.1.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para filtrar consultas SQL maliciosas. Además, revise y fortalezca las políticas de seguridad de la base de datos para limitar el acceso y los privilegios de los usuarios.
Actualice el plugin AnalyticsWP a la versión 2.1.3 o posterior para mitigar la vulnerabilidad de inyección SQL. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de actualizar cualquier plugin. Verifique que su base de datos esté correctamente configurada y protegida contra accesos no autorizados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-39389 is a critical SQL Injection vulnerability affecting AnalyticsWP WordPress plugin versions before 2.1.3, allowing attackers to potentially access and manipulate the database.
You are affected if you are using AnalyticsWP plugin versions prior to 2.1.3. Check your plugin version and upgrade immediately if necessary.
Upgrade the AnalyticsWP plugin to version 2.1.3 or later. If upgrading is not possible, temporarily disable the plugin.
While no public exploits are currently available, the ease of SQL Injection exploitation suggests a high probability of exploitation if left unpatched. Monitor for any signs of activity.
Refer to the Solid Plugins website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-39389.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.