Plataforma
wordpress
Componente
woofilter-pro
Corregido en
2.9.6
La vulnerabilidad CVE-2025-39496 es una inyección SQL detectada en el plugin WooBeWoo Product Filter Pro. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. Afecta a versiones anteriores a 2.9.6 del plugin. Se recomienda actualizar a la versión 2.9.6 para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress, permitiéndole leer, modificar o eliminar datos sensibles. Esto incluye información de usuarios, detalles de pedidos, y otros datos críticos para el negocio. La inyección SQL puede ser utilizada para escalar privilegios, permitiendo al atacante ejecutar comandos en el servidor subyacente. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad de los datos.
La vulnerabilidad CVE-2025-39496 fue publicada el 28 de agosto de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. La probabilidad de explotación se considera media, dada la popularidad del plugin y la facilidad de la inyección SQL. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
WordPress websites utilizing the WooBeWoo Product Filter Pro plugin, particularly those running versions prior to 2.9.6, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/wbw-product-filter-pro/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wbw-product-filter-pro/ | grep SQLdisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar WooBeWoo Product Filter Pro a la versión 2.9.6 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas incluyen la validación estricta de todas las entradas de usuario para prevenir la inyección de código SQL, y la implementación de un Web Application Firewall (WAF) para filtrar tráfico malicioso. Además, se recomienda revisar y fortalecer las políticas de seguridad de la base de datos, incluyendo el uso de contraseñas seguras y la limitación de los privilegios de acceso. Después de la actualización, confirmar la mitigación revisando los logs del servidor y la base de datos en busca de intentos de inyección SQL.
Actualice el plugin WooBeWoo Product Filter Pro a la versión 2.9.6 o superior para mitigar la vulnerabilidad de inyección SQL. Verifique que todas las instancias del plugin estén actualizadas para evitar posibles ataques. Considere implementar medidas de seguridad adicionales, como la validación de entradas, para fortalecer la protección contra futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-39496 is a critical SQL Injection vulnerability affecting WooBeWoo Product Filter Pro versions before 2.9.6, allowing attackers to manipulate database queries.
If you are using WooBeWoo Product Filter Pro versions earlier than 2.9.6, you are vulnerable to this SQL Injection flaw.
Upgrade WooBeWoo Product Filter Pro to version 2.9.6 or later to patch the SQL Injection vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no widespread exploitation has been confirmed, the vulnerability's criticality and public disclosure increase the risk of exploitation.
Refer to the WooBeWoo Product Filter Pro official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.