Plataforma
wordpress
Componente
wp-hrm-lite-human-resource-management-system
Corregido en
1.1.1
La vulnerabilidad CVE-2025-46455 es una inyección SQL (SQL Injection) detectada en el plugin WP HRM LITE para WordPress. Esta falla permite a atacantes inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de la base de datos. Afecta a las versiones desde 0.0.0 hasta la 1.1, y se ha solucionado en la versión 1.1.1.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress, permitiéndole leer, modificar o eliminar datos sensibles. Esto incluye información de usuarios, datos de empleados, y cualquier otra información almacenada en la base de datos. La inyección SQL puede ser utilizada para ejecutar comandos arbitrarios en el servidor, lo que podría llevar a la toma de control completa del sitio web. La severidad crítica de esta vulnerabilidad la coloca en una categoría de alto riesgo, similar a otras vulnerabilidades de inyección SQL que han afectado a sistemas web en el pasado.
Esta vulnerabilidad fue publicada el 23 de mayo de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo potencial. Es recomendable monitorear la situación y aplicar las mitigaciones lo antes posible. La vulnerabilidad no se encuentra en el KEV de CISA al momento de esta redacción.
Organizations utilizing WP HRM LITE for human resource management, particularly those running older, unpatched versions (0.0.0–1.1), are at significant risk. Shared hosting environments where multiple websites share the same database are also particularly vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "indigoThemes/wp-hrm-lite" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep wp-hrm-lite• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-hrm-lite/ | grep -i 'version: 1.1' # Check for vulnerable versionsdisclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-46455 es actualizar el plugin WP HRM LITE a la versión 1.1.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida adicional, implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones de inyección SQL comunes. Revise los logs del servidor en busca de intentos de inyección SQL y configure alertas para detectar actividades sospechosas.
Actualice el plugin WP HRM LITE a una versión corregida. Verifique el sitio web del plugin o el repositorio de WordPress para obtener la última versión disponible. Como vulnerabilidad (SQL Injection), se recomienda realizar una auditoría de seguridad del código del plugin para prevenir futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-46455 is a critical SQL Injection vulnerability affecting WP HRM LITE versions 0.0.0–1.1, allowing attackers to inject malicious SQL code and potentially access sensitive data.
You are affected if you are using WP HRM LITE versions 0.0.0 through 1.1. Check your plugin version and upgrade immediately if vulnerable.
Upgrade WP HRM LITE to version 1.1.1 or later to patch the SQL Injection vulnerability. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
While no active campaigns have been publicly reported, the vulnerability's critical severity makes it a likely target for exploitation. Monitor your systems closely.
Refer to the IndigoThemes website and WordPress plugin repository for the official advisory and update information regarding CVE-2025-46455.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.