Plataforma
wordpress
Componente
sms-alert
Corregido en
3.8.2
Se ha identificado una vulnerabilidad de inyección SQL (SQL Injection) en el componente SMS Alert Order Notifications de Cozy Vision. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.8.1, y se ha publicado una corrección en la versión 3.8.3.
La inyección SQL permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente. Esto podría resultar en la extracción de información sensible, como credenciales de usuario, datos de clientes o información financiera. Un atacante podría también modificar o eliminar datos, o incluso tomar el control completo del servidor de la base de datos. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la seguridad de la aplicación y los datos asociados. La falta de sanitización adecuada de las entradas del usuario es la causa raíz de esta vulnerabilidad, similar a otros casos de inyección SQL que han afectado a numerosas aplicaciones web.
La vulnerabilidad CVE-2025-47682 fue publicada el 12 de mayo de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la redacción. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
WordPress websites utilizing the Cozy Vision SMS Alert Order Notifications plugin, particularly those running versions 0.0.0 through 3.8.1, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/sms-alert-order-notifications/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=sms_alert_get_orders | grep SQLdisclosure
Estado del Exploit
EPSS
0.24% (47% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 3.8.3 de Cozy Vision SMS Alert Order Notifications, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización rigurosa de todas las entradas del usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear patrones de inyección SQL comunes. Es crucial revisar la configuración de la base de datos para asegurar que los permisos de usuario sean lo más restrictivos posible, limitando el acceso a los datos sensibles. Después de la actualización, confirme la corrección ejecutando una prueba de penetración o utilizando herramientas de escaneo de vulnerabilidades.
Actualice el plugin SMS Alert Order Notifications a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Como medida de seguridad adicional, considere implementar un firewall de aplicaciones web (WAF) para mitigar posibles ataques de inyección SQL.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-47682 is a critical SQL Injection vulnerability affecting Cozy Vision SMS Alert Order Notifications, allowing attackers to inject malicious SQL code and potentially access sensitive data.
You are affected if you are using Cozy Vision SMS Alert Order Notifications versions 0.0.0 through 3.8.1. Upgrade to 3.8.3 or later to resolve the issue.
Upgrade Cozy Vision SMS Alert Order Notifications to version 3.8.3 or later. As a temporary workaround, implement a WAF with SQL Injection protection.
While no public exploits are currently known, the ease of SQL Injection exploitation suggests a high probability of exploitation if left unpatched.
Refer to the Cozy Vision website or plugin repository for the official advisory and release notes related to CVE-2025-47682.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.