Plataforma
wordpress
Componente
click-pledge-wpjobboard
Corregido en
3.10.0
Se ha descubierto una vulnerabilidad de inyección SQL ciega en el plugin WordPress-WPJobBoard. Esta falla permite a un atacante inyectar comandos SQL maliciosos, comprometiendo potencialmente la integridad y confidencialidad de los datos. La vulnerabilidad afecta a versiones del plugin desde la versión desconocida hasta la 25.07010000-WP6.8.1-JB5.11.5. La solución recomendada es actualizar a la versión 3.10.0.
La inyección SQL ciega permite a un atacante extraer información sensible de la base de datos de WordPress-WPJobBoard de forma gradual. Aunque la inyección es ciega, lo que significa que el atacante no recibe una respuesta directa de cada consulta, pueden inferir la estructura de la base de datos y los datos almacenados mediante técnicas de prueba y error. Esto podría resultar en la exposición de información confidencial como nombres de usuario, contraseñas, datos personales de los usuarios, información financiera y otros datos críticos. Un atacante podría usar esta vulnerabilidad para obtener acceso no autorizado a la base de datos, modificar datos o incluso tomar control del sitio web WordPress.
Esta vulnerabilidad fue publicada el 2025-06-10. No se ha confirmado la explotación activa en la naturaleza, pero la alta puntuación CVSS (9.3) indica un riesgo significativo. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso. La naturaleza ciega de la inyección SQL puede hacer que la detección sea más difícil, pero el monitoreo de la actividad de la base de datos y la implementación de reglas de detección de anomalías pueden ayudar a identificar posibles ataques.
WordPress sites utilizing the WPJobBoard plugin, particularly those running older versions (≤25.07010000-WP6.8.1-JB5.11.5), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "click-pledge-wpjobboard" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep WPJobBoard• generic web:
curl -I https://example.com/wp-content/plugins/click-pledge-wpjobboard/ | grep SQL• generic web: Check WordPress error logs for SQL syntax errors or unusual database queries related to the plugin.
disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar WordPress-WPJobBoard a la versión 3.10.0 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para filtrar consultas SQL sospechosas. Además, revise y fortalezca las políticas de seguridad de la base de datos, asegurándose de que los usuarios de la base de datos tengan los privilegios mínimos necesarios. Después de la actualización, confirme la mitigación ejecutando pruebas de inyección SQL en las áreas afectadas.
Actualice el plugin WordPress-WPJobBoard a una versión corregida para mitigar la vulnerabilidad de inyección SQL ciega. Consulte las notas de la versión del plugin o el sitio web del desarrollador para obtener instrucciones específicas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49455 is a critical SQL Injection vulnerability affecting WordPress-WPJobBoard versions up to 25.07010000-WP6.8.1-JB5.11.5, allowing attackers to potentially extract sensitive data.
If you are using WordPress-WPJobBoard version 25.07010000-WP6.8.1 or earlier, you are potentially affected by this vulnerability.
Upgrade WordPress-WPJobBoard to version 3.10.0 or later to remediate the SQL Injection vulnerability.
While no public exploits are currently known, the vulnerability's severity suggests it is a high-priority target for exploitation.
Refer to the WordPress-WPJobBoard plugin's official website or the WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.