Plataforma
wordpress
Componente
fable-extra
Corregido en
1.0.7
Se ha descubierto una vulnerabilidad de inyección SQL ciega en Fable Extra, un plugin para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.0.6, y se recomienda actualizar a la versión 1.0.7 para solucionar el problema.
La inyección SQL ciega permite a un atacante, aunque sin recibir respuestas directas de la base de datos, inferir información sobre su estructura y contenido. Esto puede llevar a la extracción de credenciales de usuario, información personal, datos de configuración y otros datos sensibles. El atacante podría, por ejemplo, determinar la longitud de contraseñas o la existencia de usuarios específicos. Aunque la explotación es más compleja que una inyección SQL tradicional, el impacto potencial es significativo, pudiendo resultar en la completa toma de control del sitio web y la base de datos subyacente. Esta vulnerabilidad se asemeja a otras explotaciones de inyección SQL ciega que han afectado a diversas aplicaciones web.
Este CVE fue publicado el 2025-05-23. No se ha listado en el KEV de CISA al momento de la redacción. La probabilidad de explotación se considera media, dado que la inyección SQL ciega requiere un conocimiento más profundo de la base de datos y técnicas de explotación. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad la hace susceptible a ser explotada una vez que se conocen los detalles técnicos.
WordPress sites utilizing the Fable Extra plugin, especially those running older versions (0.0.0–1.0.6), are at significant risk. Shared hosting environments where plugin updates are not managed by the site administrator are particularly vulnerable. Sites with sensitive data stored in the WordPress database are also at higher risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/fable-extra/• wordpress / composer / npm:
wp plugin list | grep fable-extra• wordpress / composer / npm:
wp plugin update fable-extra --all• generic web:
Inspect WordPress access logs for unusual SQL queries related to the Fable Extra plugin, particularly those involving SELECT statements and potentially long execution times.
disclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Fable Extra a la versión 1.0.7, donde se ha corregido la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas que detecten y bloqueen patrones de inyección SQL comunes. Además, revise y fortalezca las políticas de seguridad de la base de datos, asegurándose de que los usuarios de la base de datos tengan los permisos mínimos necesarios. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando una inyección SQL ciega controlada en un entorno de pruebas.
Actualice el plugin Fable Extra a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-46539 is a critical SQL Injection vulnerability affecting the Fable Extra WordPress plugin, allowing attackers to potentially extract data through blind SQL injection.
If you are using Fable Extra version 0.0.0 through 1.0.6, you are affected by this vulnerability. Check your plugin version immediately.
Upgrade the Fable Extra plugin to version 1.0.7 or later to resolve the SQL Injection vulnerability. If immediate upgrade is not possible, disable the plugin temporarily.
While no public exploits are currently known, the CRITICAL severity and ease of SQL injection exploitation suggest it is likely to become a target. Monitor for signs of exploitation.
Refer to the official Fable Extra plugin documentation or the WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.