Plataforma
wordpress
Componente
video-list-manager
Corregido en
1.7.1
Se ha descubierto una vulnerabilidad de inyección SQL en Video List Manager, un plugin para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. Las versiones afectadas son desde la 0.0.0 hasta la 1.7, inclusive. Una actualización a la versión 1.7.1 soluciona este problema.
La inyección SQL permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos de WordPress. Esto podría resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos de clientes o cualquier otra información almacenada en la base de datos. Un atacante podría incluso modificar o eliminar datos, causando daños significativos a la aplicación y a los usuarios. La severidad CRÍTICA indica un alto riesgo de explotación y un impacto potencialmente devastador. Esta vulnerabilidad es similar a otras inyecciones SQL que han permitido el acceso no autorizado a sistemas críticos.
El CVE-2025-52831 fue publicado el 4 de julio de 2025. No se ha registrado en el KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoC) activas, pero la severidad CRÍTICA indica que es probable que se desarrollen y se utilicen en ataques. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
WordPress websites utilizing the Video List Manager plugin, particularly those running older versions (0.0.0 - 1.7), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "SELECT * FROM" /var/www/html/wp-content/plugins/video-list-manager/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=video-list-manager&action=some_parameter' --silent | grep SQLdisclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Video List Manager a la versión 1.7.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario. Implementar reglas de firewall de aplicaciones web (WAF) que bloqueen patrones de inyección SQL comunes puede proporcionar una capa adicional de protección. Monitorear los registros de WordPress en busca de intentos de inyección SQL puede ayudar a detectar y responder a ataques en curso.
Actualice el plugin Video List Manager a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de las entradas del usuario, para prevenir futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-52831 is a critical SQL Injection vulnerability in the Video List Manager WordPress plugin, allowing attackers to inject malicious SQL code and potentially access sensitive data.
You are affected if you are using Video List Manager versions 0.0.0 through 1.7. Upgrade to 1.7.1 or later to resolve the issue.
Upgrade the Video List Manager plugin to version 1.7.1 or later. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation attempts will occur. Monitor your systems closely.
Refer to the Video List Manager plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.