Plataforma
wordpress
Componente
ngg-smart-image-search
Corregido en
3.4.2
Se ha descubierto una vulnerabilidad de inyección SQL en el plugin NGG Smart Image Search, afectando a versiones desde 0.0.0 hasta la 3.4.1. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad de la base de datos y obteniendo acceso no autorizado a información sensible. La vulnerabilidad fue publicada el 4 de julio de 2025 y se ha lanzado una actualización (versión 3.4.2) para corregirla.
La inyección SQL en NGG Smart Image Search permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos subyacente. Esto podría resultar en la extracción de información confidencial, como nombres de usuario, contraseñas, datos de clientes o información financiera. Un atacante también podría modificar o eliminar datos, comprometiendo la integridad del sitio web y sus operaciones. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la seguridad de los sistemas afectados. La naturaleza de la inyección SQL facilita la automatización de ataques, aumentando el riesgo de explotación masiva.
Esta vulnerabilidad ha sido publicada públicamente y, dada su severidad y la facilidad de explotación de las inyecciones SQL, es probable que sea objeto de escaneo y explotación activa. No se ha confirmado explotación activa a la fecha de publicación, pero la alta puntuación CVSS y la disponibilidad de herramientas de inyección SQL facilitan su explotación. Se recomienda monitorear los registros del servidor y la base de datos en busca de actividad sospechosa.
WordPress websites utilizing the NGG Smart Image Search plugin, particularly those running older versions (0.0.0–3.4.1), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others. Sites with weak database user permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "ngg-smart-image-search" /var/www/html/wp-content/plugins/
wp plugin list | grep 'ngg-smart-image-search'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=ngg_download_gallery | grep 'SQL'disclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar NGG Smart Image Search a la versión 3.4.2 o superior, que incluye la corrección de seguridad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para filtrar consultas SQL sospechosas. Además, revise y fortalezca las políticas de seguridad de la base de datos, incluyendo la aplicación del principio de mínimo privilegio para las cuentas de usuario de la base de datos.
Actualice el plugin NGG Smart Image Search a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-52832 is a critical SQL Injection vulnerability affecting NGG Smart Image Search versions 0.0.0–3.4.1, allowing attackers to inject malicious SQL code and potentially compromise the WordPress database.
You are affected if your WordPress site uses NGG Smart Image Search version 0.0.0 through 3.4.1. Check your plugin versions immediately.
Upgrade the NGG Smart Image Search plugin to version 3.4.2 or later. If immediate upgrade is not possible, implement WAF rules to filter malicious SQL queries.
There is currently no confirmed evidence of active exploitation, but the vulnerability's severity suggests it is likely to be targeted.
Refer to the official NGG Smart Image Search website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.