Plataforma
wordpress
Componente
wp-lead-capture
Corregido en
2.5.4
La vulnerabilidad CVE-2025-49055 es una inyección SQL ciega descubierta en el plugin WP Lead Capturing Pages para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados. Afecta a las versiones desde 0.0.0 hasta la 2.5, siendo la versión 2.5.4 la que corrige esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad puede extraer información sensible de la base de datos de WordPress, como nombres de usuario, contraseñas, direcciones de correo electrónico y otros datos personales recopilados a través de los formularios de captura de leads. La inyección SQL ciega, aunque requiere más tiempo y esfuerzo para explotar, permite la extracción de datos de forma gradual, dificultando su detección. La falta de validación adecuada de las entradas del usuario permite la manipulación de las consultas SQL, abriendo la puerta a la exfiltración de datos y, potencialmente, a la modificación o eliminación de información crítica. Aunque no se han reportado explotaciones públicas, la severidad crítica de la vulnerabilidad y su naturaleza de inyección SQL la convierten en un objetivo atractivo para atacantes.
La vulnerabilidad CVE-2025-49055 ha sido publicada el 22 de enero de 2026. No se ha añadido a la lista KEV de CISA, pero su CVSS de 9.3 indica una alta probabilidad de explotación. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad la hace susceptible a ser explotada por atacantes con conocimientos técnicos. Se recomienda monitorear activamente los sistemas WordPress para detectar cualquier actividad sospechosa.
Websites utilizing the WP Lead Capturing Pages plugin, particularly those running older, unpatched versions (0.0.0 - 2.5), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "kamleshyadav/wp-lead-capture" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "WP Lead Capturing Pages"• wordpress / composer / npm:
wp plugin update --all• generic web: Check for unusual database activity in WordPress logs, specifically related to the WP Lead Capturing Pages plugin.
disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP Lead Capturing Pages a la versión 2.5.4 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción de acceso a la base de datos, la implementación de un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear inyecciones SQL, y la revisión del código del plugin para identificar y corregir posibles vulnerabilidades. Es crucial implementar una política de contraseñas robusta y habilitar la autenticación de dos factores para proteger las cuentas de administrador de WordPress. Después de la actualización, confirme la corrección ejecutando pruebas de penetración o utilizando herramientas de escaneo de vulnerabilidades para verificar que la inyección SQL ha sido mitigada.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49055 is a critical SQL Injection vulnerability affecting the WP Lead Capturing Pages WordPress plugin, allowing attackers to extract data via blind SQL injection.
You are affected if you are using WP Lead Capturing Pages versions 0.0.0 through 2.5. Check your plugin version and upgrade immediately.
Upgrade the WP Lead Capturing Pages plugin to version 2.5.4 or later to patch the SQL Injection vulnerability. Disable the plugin if immediate upgrade is not possible.
While active exploitation is not yet confirmed, the CRITICAL severity and nature of the vulnerability suggest it is likely to be targeted. Monitor for suspicious activity.
Refer to the plugin developer's website or WordPress.org plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.