Plataforma
wordpress
Componente
school-management
Corregido en
92.0.1
La vulnerabilidad CVE-2025-47573 es una inyección SQL ciega detectada en el sistema School Management. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de los datos almacenados. Afecta a las versiones desde n/a hasta 92.0.0, y ha sido resuelta en la versión 92.0.1.
Un atacante que explote esta vulnerabilidad puede realizar consultas SQL maliciosas para extraer datos sensibles de la base de datos, incluso si no recibe una respuesta directa de la base de datos (inyección ciega). Esto podría incluir información personal de estudiantes, profesores, datos financieros y otra información confidencial. La falta de validación adecuada de las entradas del usuario permite la inyección de comandos SQL, lo que podría llevar a la manipulación de la base de datos, la modificación de registros o incluso la toma de control del sistema. La naturaleza ciega de la inyección dificulta la detección, ya que el atacante debe inferir la información a través de múltiples consultas.
La vulnerabilidad CVE-2025-47573 fue publicada el 2025-06-17. No se ha reportado su inclusión en el KEV de CISA ni la existencia de campañas de explotación activas a la fecha. La naturaleza ciega de la inyección SQL podría dificultar su detección y explotación, pero la alta puntuación CVSS indica un riesgo significativo si no se mitiga.
Schools and educational institutions utilizing mojoomla School Management are at significant risk. Specifically, those running older, unpatched versions (prior to 92.0.1) are particularly vulnerable. Organizations relying on mojoomla for sensitive student data or administrative functions should prioritize patching.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/mojoomla/includes/• generic web:
curl -I https://your-mojoomla-site.com/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep mojoomla• wordpress / composer / npm:
wp plugin update mojoomladisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-47573 es actualizar School Management a la versión 92.0.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de firewall o un sistema de prevención de intrusiones (WAF) para bloquear patrones de inyección SQL conocidos. Además, es crucial revisar y fortalecer la validación de todas las entradas de usuario en el sistema School Management para prevenir futuras vulnerabilidades de inyección SQL. Después de la actualización, verifique la integridad de la base de datos y los registros del sistema para detectar cualquier actividad sospechosa.
Actualice el plugin School Management a una versión corregida. Consulte las notas de la versión del plugin o el sitio web del desarrollador para obtener instrucciones específicas sobre cómo actualizar y mitigar la vulnerabilidad de inyección SQL.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-47573 is a critical SQL Injection vulnerability affecting mojoomla School Management versions before 92.0.1, allowing attackers to extract data through blind SQL injection.
If you are using mojoomla School Management versions prior to 92.0.1, you are vulnerable to this SQL Injection flaw. Immediately check your version and upgrade.
Upgrade mojoomla School Management to version 92.0.1 or later to patch this vulnerability. If immediate upgrade is not possible, implement temporary workarounds like input validation and WAF rules.
While no active exploitation has been confirmed, the vulnerability's severity and the nature of blind SQL injection suggest it's likely to be targeted. Continuous monitoring is crucial.
Refer to the official mojoomla security advisory page for the most up-to-date information and guidance regarding CVE-2025-47573.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.