Plataforma
wordpress
Componente
multi-crypto-currency-payment
Corregido en
2.0.8
Se ha identificado una vulnerabilidad de inyección SQL en el plugin Multi CryptoCurrency Payments, desarrollada por Alex Zaytseff. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.0.7, y se ha solucionado en la versión 2.0.4.
La inyección SQL en Multi CryptoCurrency Payments permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto puede resultar en la extracción de información sensible, como credenciales de usuarios, claves de API de criptomonedas, y datos de transacciones. Un atacante podría modificar datos, eliminar registros, o incluso tomar el control completo de la base de datos. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la seguridad del sitio web y sus usuarios. La falta de sanitización adecuada de las entradas del usuario es la causa raíz de esta vulnerabilidad, similar a otras fallas de inyección SQL que han afectado a numerosas aplicaciones web.
La vulnerabilidad CVE-2025-48141 fue publicada el 9 de junio de 2025. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. La disponibilidad de un Proof of Concept (PoC) público podría aumentar significativamente el riesgo de explotación. Se recomienda monitorear activamente los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación activa.
WordPress websites utilizing the Multi CryptoCurrency Payments plugin, particularly those running versions 0.0.0 through 2.0.7, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose the data of others. Websites that have not implemented robust input validation practices are also at increased risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/multi-crypto-currency-payment/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/multi-crypto-currency-payment/ | grep SQL• database (mysql):
SELECT @@version;• wordpress / composer / npm:
wp plugin list | grep multi-crypto-currency-paymentdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Multi CryptoCurrency Payments a la versión 2.0.4 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación temporales. Estas medidas incluyen la validación y sanitización rigurosa de todas las entradas del usuario antes de utilizarlas en consultas SQL. Implementar una Web Application Firewall (WAF) con reglas específicas para detectar y bloquear ataques de inyección SQL puede proporcionar una capa adicional de protección. Además, se recomienda revisar y fortalecer la configuración de la base de datos, limitando los privilegios de acceso a los usuarios y aplicando el principio de mínimo privilegio. Después de la actualización, confirme la mitigación ejecutando una prueba de penetración o utilizando un escáner de vulnerabilidades para verificar que la vulnerabilidad ha sido resuelta.
Actualice el plugin Multi CryptoCurrency Payments a una versión posterior a 2.0.7 para mitigar la vulnerabilidad de inyección SQL. Verifique la página del plugin en WordPress.org para obtener la última versión disponible y siga las instrucciones de actualización proporcionadas por el desarrollador. Asegúrese de realizar una copia de seguridad de su sitio web antes de realizar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48141 is a critical SQL Injection vulnerability affecting Multi CryptoCurrency Payments versions 0.0.0–2.0.7, allowing attackers to inject malicious SQL code and potentially compromise the database.
If you are using Multi CryptoCurrency Payments version 0.0.0 through 2.0.7 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade Multi CryptoCurrency Payments to version 2.0.4 or later to remediate the SQL Injection vulnerability. Consider WAF rules as a temporary workaround.
While no public exploits are currently known, the ease of SQL Injection exploitation suggests a high probability of exploitation if left unpatched.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.