Plataforma
wordpress
Componente
lifterlms
Corregido en
8.0.7
La vulnerabilidad CVE-2025-52717 es una inyección SQL detectada en el plugin LifterLMS, desarrollado por chrisbadgett. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo la integridad y confidencialidad de la base de datos. Afecta a las versiones desde 0.0.0 hasta la 8.0.6 inclusive. Se ha publicado una corrección en la versión 8.0.7.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress que utiliza LifterLMS. Esto podría resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos de estudiantes, información de cursos y pagos. Además, el atacante podría modificar o eliminar datos, causando daños significativos a la integridad del sistema. La inyección SQL permite la ejecución de comandos arbitrarios en el servidor de la base de datos, lo que podría llevar a la toma de control completa del sitio web. Esta vulnerabilidad es particularmente grave debido a su alta puntuación CVSS y la posibilidad de acceso no autorizado a información confidencial.
La vulnerabilidad CVE-2025-52717 fue publicada el 27 de junio de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.3) indica un riesgo significativo. Se recomienda monitorear los registros del servidor y las alertas de seguridad para detectar cualquier actividad sospechosa. La disponibilidad de un proof-of-concept (POC) público podría aumentar el riesgo de explotación.
Organizations and individuals using the LifterLMS plugin for managing online courses and memberships are at risk. This includes educational institutions, businesses offering online training, and individual course creators. Those running older, unpatched versions of LifterLMS, particularly those with publicly accessible course registration forms, are at the highest risk.
• wordpress / composer / npm:
grep -r "lifterlms_get_courses" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep lifterlms• wordpress / composer / npm:
wp plugin list | grep lifterlmsdisclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-52717 es actualizar LifterLMS a la versión 8.0.7 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para filtrar el tráfico malicioso y bloquear intentos de inyección SQL. Además, revise y fortalezca las políticas de seguridad de la base de datos, incluyendo el uso de contraseñas seguras y la restricción de los permisos de acceso. Después de la actualización, verifique la integridad de la base de datos y los registros del servidor para detectar cualquier actividad sospechosa.
Actualice el plugin LifterLMS a la versión 8.0.7 o posterior para mitigar la vulnerabilidad de inyección SQL. Esta actualización corrige la forma en que se manejan los datos de entrada, previniendo la ejecución de código SQL malicioso. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar el plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-52717 is a critical SQL Injection vulnerability affecting the LifterLMS WordPress plugin, allowing attackers to inject malicious SQL code and potentially access sensitive data.
You are affected if you are using LifterLMS versions 0.0.0 through 8.0.6. Upgrade to version 8.0.7 or later to resolve the vulnerability.
The recommended fix is to upgrade LifterLMS to version 8.0.7 or later. If immediate upgrade is not possible, consider temporary workarounds like WAF rules and input validation.
While no widespread exploitation has been confirmed, the CRITICAL severity and ease of exploitation suggest a high probability of active exploitation.
Refer to the official LifterLMS website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-52717.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.