Plataforma
wordpress
Componente
lms
Corregido en
9.2.1
Se ha identificado una vulnerabilidad de inyección SQL en el tema LMS de LMS, lo que permite a atacantes inyectar código SQL malicioso. Esta falla puede resultar en el acceso no autorizado a datos sensibles y la manipulación de la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 9.2, y se ha publicado una actualización a la versión 9.3 para solucionar el problema.
La inyección SQL en el tema LMS LMS permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos subyacente. Esto podría resultar en la extracción de información confidencial, como nombres de usuario, contraseñas, datos de clientes o información financiera. Un atacante también podría modificar o eliminar datos, comprometiendo la integridad del sistema. La severidad crítica de esta vulnerabilidad se debe a la facilidad con la que se puede explotar y el potencial de daño significativo que puede causar. Explotaciones exitosas podrían permitir el control total de la base de datos, similar a vulnerabilidades encontradas en sistemas de gestión de contenido menos seguros.
Esta vulnerabilidad ha sido publicada públicamente el 4 de julio de 2025. No se ha reportado su inclusión en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción. La disponibilidad de la vulnerabilidad y su severidad crítica sugieren una probabilidad de explotación activa, especialmente si se encuentran pruebas de concepto (PoC) disponibles públicamente. Se recomienda monitorear activamente los sistemas afectados en busca de signos de intrusión.
WordPress sites utilizing the LMS LMS Theme, particularly those running versions 0.0.0 through 9.2, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others. Sites with weak database access controls or inadequate input validation practices are also at increased risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/themes/lms/• generic web:
curl -I https://your-wordpress-site.com/lms/vulnerable-endpoint?param='; DROP TABLE users; --• wordpress / composer / npm:
wp plugin list --status=inactive | grep lmsdisclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el tema LMS a la versión 9.3 o superior, que incluye la corrección de la inyección SQL. Si la actualización no es inmediatamente posible, considere implementar reglas de firewall de aplicaciones web (WAF) para filtrar tráfico malicioso que intente explotar la vulnerabilidad. Además, revise y endurezca la configuración de la base de datos para limitar el acceso y los privilegios de los usuarios. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las consultas SQL ya no sean susceptibles a la inyección.
Actualizar a la versión 9.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-52833 is a critical SQL Injection vulnerability affecting the LMS LMS Theme, allowing attackers to inject malicious SQL code and potentially access sensitive data.
You are affected if you are using LMS LMS Theme versions 0.0.0 through 9.2. Upgrade to version 9.3 to mitigate the risk.
Upgrade the LMS LMS Theme to version 9.3 or later. Implement a WAF and input validation as temporary workarounds if upgrading is not immediately possible.
While no active exploitation has been confirmed, the ease of SQL Injection exploitation suggests a high probability of exploitation if the vulnerability remains unpatched.
Refer to the official LMS website or their security advisory page for the latest information and updates regarding CVE-2025-52833.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.