Plataforma
wordpress
Componente
woocommerce-ultimate-gift-card
Corregido en
2.9.7
La vulnerabilidad CVE-2025-47569 es una inyección SQL ciega (Blind SQL Injection) detectada en el plugin WooCommerce Ultimate Gift Card. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente extrayendo información sensible de la base de datos. Afecta a las versiones desde 0.0.0 hasta la 2.9.6, siendo la versión 2.9.7 la que corrige la vulnerabilidad.
Un atacante que explote esta vulnerabilidad puede comprometer la confidencialidad e integridad de los datos almacenados en la base de datos de WooCommerce. La inyección ciega de SQL permite la extracción de información de forma gradual, lo que dificulta su detección. El atacante podría obtener acceso a información de clientes, detalles de pedidos, datos de tarjetas de regalo y otra información sensible. El potencial de daño es significativo, pudiendo resultar en robo de identidad, fraude financiero y daño a la reputación del sitio web. Aunque la inyección es ciega, la persistencia del atacante puede revelar información valiosa.
La vulnerabilidad CVE-2025-47569 fue publicada el 9 de septiembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La naturaleza de la inyección ciega de SQL implica que la explotación puede ser más lenta y difícil de detectar, pero también más persistente. Es importante monitorear los registros del servidor en busca de patrones sospechosos.
WordPress sites utilizing the WooCommerce Ultimate Gift Card plugin, particularly those running versions 0.0.0 through 2.9.6, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak database security configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "wp_query('SELECT * FROM `wp_gift_cards` where 1=1" /var/www/html/wp-content/plugins/woocommerce-ultimate-gift-card• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woocommerce-ultimate-gift-card/ | grep -i "SQL Injection"• wordpress / composer / npm:
wp plugin list --status=inactive | grep woocommerce-ultimate-gift-carddisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar WooCommerce Ultimate Gift Card a la versión 2.9.7 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas incluyen la configuración de un Web Application Firewall (WAF) para bloquear patrones de inyección SQL conocidos y la validación estricta de todas las entradas de usuario. Además, se debe revisar el código del plugin en busca de posibles puntos débiles y aplicar las mejores prácticas de seguridad SQL. Después de la actualización, confirmar la corrección ejecutando pruebas de penetración o utilizando herramientas de escaneo de vulnerabilidades.
Actualizar a la versión 2.9.7, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-47569 is a critical SQL Injection vulnerability affecting WooCommerce Ultimate Gift Card versions 0.0.0–2.9.6, allowing attackers to extract data via blind SQL injection.
If you are using WooCommerce Ultimate Gift Card versions 0.0.0 through 2.9.6, you are affected by this vulnerability and must upgrade immediately.
Upgrade WooCommerce Ultimate Gift Card to version 2.9.7 or later to remediate the SQL Injection vulnerability. Consider disabling the plugin if immediate upgrade is not possible.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate action.
Refer to the plugin developer's website or the WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.