Plataforma
wordpress
Componente
custom-api-for-wp
Corregido en
4.2.3
Se ha identificado una vulnerabilidad de SQL Injection en el plugin Custom API for WP, permitiendo a atacantes inyectar código SQL malicioso. Esta falla puede resultar en la exposición o manipulación de datos sensibles almacenados en la base de datos. La vulnerabilidad afecta a versiones desde 0.0.0 hasta la 4.2.2, y se recomienda actualizar a la versión 4.2.3 para solucionar el problema.
La inyección SQL permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto podría resultar en la lectura, modificación o eliminación de datos confidenciales, como nombres de usuario, contraseñas, información de clientes o datos de transacciones. Un atacante podría incluso obtener acceso administrativo al sitio, permitiéndole tomar el control completo del mismo. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la seguridad del sitio web.
Esta vulnerabilidad ha sido publicada el 2025-08-20. No se ha reportado explotación activa a la fecha, pero la alta severidad (CVSS 9.3) indica una alta probabilidad de que sea explotada en el futuro. Se recomienda monitorear los registros del servidor y del plugin en busca de actividad sospechosa.
WordPress websites utilizing the Custom API for WP plugin, particularly those handling sensitive user data or financial transactions, are at significant risk. Shared hosting environments where multiple WordPress installations share the same database are also at increased risk, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "miniOrange Custom API for WP" /var/www/html/
wp plugin list | grep 'miniOrange Custom API for WP'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mini-orange-custom-api-for-wp/ | grep -i 'SQL Injection'disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Custom API for WP a la versión 4.2.3 o superior, donde se ha corregido la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para filtrar consultas SQL sospechosas. Además, revise y fortalezca las validaciones de entrada en el código del plugin para prevenir futuras inyecciones SQL.
Actualice el plugin 'Custom API for WP' a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54048 is a critical SQL Injection vulnerability affecting the Custom API for WP plugin, allowing attackers to inject malicious SQL code and potentially access sensitive data.
You are affected if you are using Custom API for WP versions 0.0.0 through 4.2.2. Upgrade to 4.2.3 or later to mitigate the risk.
Upgrade the Custom API for WP plugin to version 4.2.3 or later. Consider implementing a WAF rule as an interim measure if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation attempts will occur. Monitor your systems closely.
Refer to the miniOrange website and WordPress plugin repository for the official advisory and update information regarding CVE-2025-54048.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.