Plataforma
wordpress
Componente
wp-job-portal
Corregido en
2.3.3
Se ha identificado una vulnerabilidad de inyección SQL ciega en el plugin WP Job Portal. Esta falla permite a un atacante inyectar comandos SQL maliciosos, comprometiendo potencialmente la integridad de la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.3.2. Una actualización a la versión 2.3.3 resuelve el problema.
La inyección SQL ciega permite a un atacante extraer información sensible de la base de datos de WordPress de forma gradual, sin recibir una respuesta directa por cada consulta. Esto puede incluir credenciales de usuario, información personal, datos de contacto, y cualquier otra información almacenada en la base de datos. Un atacante podría utilizar esta vulnerabilidad para obtener acceso no autorizado a la aplicación, modificar datos, o incluso tomar el control completo del sitio web. Aunque la explotación es más compleja que una inyección SQL tradicional, la falta de validación de entrada en WP Job Portal facilita este tipo de ataque.
Esta vulnerabilidad ha sido publicada públicamente el 17 de junio de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La naturaleza ciega de la inyección SQL implica que la detección puede ser más difícil, requiriendo un monitoreo cuidadoso de los logs del servidor y la base de datos.
Websites utilizing the WP Job Portal plugin, particularly those running older, unpatched versions (0.0.0–2.3.2), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others. Sites with custom integrations or extensions built on top of WP Job Portal are also at increased risk.
• wordpress / composer / npm:
grep -r "wp_query" /var/www/html/wp-content/plugins/wp-job-portal/• generic web:
curl -I https://your-wordpress-site.com/wp-job-portal/ | grep SQL• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-job-portal• wordpress / composer / npm:
wp plugin auto-update --alldisclosure
Estado del Exploit
EPSS
0.05% (17% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin WP Job Portal a la versión 2.3.3 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación como la validación estricta de todas las entradas de usuario, el uso de consultas preparadas (prepared statements) para evitar la inyección SQL, y la limitación de los privilegios de la cuenta de base de datos utilizada por el plugin. Implementar un Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección SQL también puede ayudar a proteger el sitio. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor en busca de intentos de inyección SQL.
Actualice el plugin WP Job Portal a la versión 2.3.3 o superior para mitigar la vulnerabilidad de inyección SQL ciega. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar. Verifique que la actualización se haya realizado correctamente revisando los registros del sitio web y realizando pruebas funcionales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48274 is a critical SQL Injection vulnerability affecting the WP Job Portal plugin, allowing attackers to potentially extract sensitive data through blind SQL injection.
You are affected if you are using WP Job Portal versions 0.0.0 through 2.3.2. Immediately check your plugin version and upgrade if necessary.
Upgrade the WP Job Portal plugin to version 2.3.3 or later. If immediate upgrade is not possible, implement a WAF and carefully sanitize user inputs.
While no public exploits are currently known, the vulnerability's severity and the nature of SQL injection suggest active exploitation is possible. Continuous monitoring is recommended.
Refer to the WP Job Portal plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.