Plataforma
wordpress
Componente
apartment-management
Corregido en
44.0.1
Se ha descubierto una vulnerabilidad de inyección SQL en el plugin WPAMS Apartment-Management para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 44.0 (publicada el 17 de agosto de 2023) y se ha solucionado en la versión 44.0.1.
La inyección SQL en WPAMS Apartment-Management permite a un atacante acceder, modificar o eliminar datos sensibles almacenados en la base de datos. Esto podría incluir información de usuarios, detalles de apartamentos, datos financieros y otra información confidencial. Un atacante podría utilizar esta vulnerabilidad para obtener acceso no autorizado al sistema, realizar modificaciones maliciosas o incluso tomar el control completo del sitio web. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la seguridad de los datos.
Esta vulnerabilidad ha sido publicada el 19 de mayo de 2025. No se ha identificado su inclusión en el KEV de CISA ni existen informes públicos de explotación activa a la fecha. La disponibilidad de un PoC público podría aumentar significativamente el riesgo de explotación.
Apartment management businesses and organizations using WPAMS plugin on their WordPress sites are at significant risk. Specifically, those running older, unpatched versions (0.0.0–44.0) are highly vulnerable. Shared WordPress hosting environments are also at increased risk, as a compromised WPAMS installation on one site could potentially impact other sites on the same server.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/wpams/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wpams/ | grep SQL• wordpress / composer / npm:
wp plugin list --status=active | grep wpamsdisclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar WPAMS Apartment-Management a la versión 44.0.1 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear consultas SQL sospechosas también puede ayudar. Monitorear los registros de la base de datos en busca de patrones de inyección SQL es crucial. Después de la actualización, verifique la integridad de la base de datos ejecutando una consulta de validación para asegurar que los datos no han sido comprometidos.
Actualice el plugin WPAMS a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de las entradas del usuario, para prevenir futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-39395 is a critical SQL Injection vulnerability affecting the WPAMS plugin for WordPress, allowing attackers to manipulate database queries and potentially gain unauthorized access to sensitive data.
You are affected if you are using WPAMS versions 0.0.0 through 44.0 (released on 2023-08-17). Check your plugin version and upgrade immediately if vulnerable.
Upgrade the WPAMS plugin to version 44.0.1 or later. If upgrading is not immediately possible, implement temporary workarounds like WAF rules and restricting database user privileges.
While there are no confirmed reports of active exploitation at this time, the vulnerability's criticality and ease of exploitation suggest that it is likely to be targeted by attackers.
Refer to the WPAMS plugin website or the WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.