Plataforma
wordpress
Componente
directiq-wp
Corregido en
2.0.1
Se ha descubierto una vulnerabilidad de inyección SQL (SQL Injection) en DirectIQ Email Marketing, afectando a las versiones desde 0.0.0 hasta la 2.0 inclusive. Esta falla permite a un atacante inyectar código SQL malicioso en las consultas de la base de datos, comprometiendo potencialmente la confidencialidad, integridad y disponibilidad de la información almacenada. La vulnerabilidad ha sido publicada el 27 de junio de 2025 y se recomienda actualizar a la versión 2.0.1 para solucionar el problema.
La inyección SQL en DirectIQ Email Marketing permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente. Esto podría resultar en la extracción de información sensible, como credenciales de usuario, datos de clientes, o información de campañas de marketing. Un atacante podría modificar datos, eliminar registros o incluso tomar control del servidor de la base de datos. La severidad crítica de la vulnerabilidad (CVSS 9.3) indica un alto riesgo de explotación y un impacto significativo en la seguridad de la aplicación y los datos que maneja. Esta vulnerabilidad es similar a otras inyecciones SQL que han permitido el robo masivo de datos en el pasado.
La vulnerabilidad CVE-2025-52829 fue publicada el 27 de junio de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección SQL la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas afectados en busca de signos de explotación.
WordPress websites utilizing the DirectIQ Email Marketing plugin, particularly those running versions 0.0.0 through 2.0, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others. Organizations relying on DirectIQ Email Marketing for critical email marketing campaigns and customer data are also at heightened risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/directiq-wp/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/directiq-wp/api/endpoint.php?param='; DROP TABLE users;--• database (mysql):
SELECT VERSION(); -- SQL Injection testdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar esta vulnerabilidad es actualizar DirectIQ Email Marketing a la versión 2.0.1, donde se ha corregido el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario antes de utilizarlas en consultas SQL. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear patrones de inyección SQL comunes. Es crucial revisar la configuración de la base de datos para asegurar que se apliquen los principios de mínimo privilegio y que las cuentas de usuario tengan los permisos necesarios para realizar sus tareas. Después de la actualización, confirme la mitigación ejecutando pruebas de penetración para verificar que la vulnerabilidad ha sido eliminada.
Actualice el plugin DirectIQ Email Marketing a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las actualizaciones en el repositorio de WordPress o contacte al desarrollador para obtener más información sobre la versión corregida. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de las entradas del usuario, para prevenir futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-52829 is a critical SQL Injection vulnerability affecting DirectIQ Email Marketing versions 0.0.0 through 2.0, allowing attackers to inject malicious SQL code.
If you are using DirectIQ Email Marketing versions 0.0.0 to 2.0, you are vulnerable. Upgrade to 2.0.1 or later to mitigate the risk.
Upgrade DirectIQ Email Marketing to version 2.0.1 or later. As a temporary workaround, restrict database user permissions and consider a WAF.
While no active exploitation has been confirmed, the ease of exploitation suggests a high probability if the vulnerability remains unpatched.
Please refer to the DirectIQ website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.