Plataforma
wordpress
Componente
wp-meta-data-filter-and-taxonomy-filter
Corregido en
1.3.4
La vulnerabilidad CVE-2025-54707 es una inyección SQL detectada en el plugin MDTF para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.3.3.7, y se recomienda actualizar a la versión 1.3.4 para solucionar el problema.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress, permitiéndole leer, modificar o eliminar datos sensibles. Esto incluye información de usuarios, contraseñas, datos de clientes y cualquier otra información almacenada en la base de datos. Además, un atacante podría utilizar la inyección SQL para ejecutar comandos del sistema operativo en el servidor, lo que podría resultar en el control total del servidor. La severidad crítica de esta vulnerabilidad se debe al potencial de impacto devastador en la confidencialidad, integridad y disponibilidad de los datos.
La vulnerabilidad CVE-2025-54707 fue publicada el 14 de agosto de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la inyección SQL la convierte en un objetivo atractivo para atacantes. La disponibilidad de un PoC público podría acelerar la explotación. Se recomienda monitorear los registros del servidor y la base de datos en busca de actividad sospechosa.
Websites using the MDTF WordPress plugin, particularly those with sensitive data stored in their WordPress database, are at significant risk. Shared hosting environments where multiple WordPress installations share the same database are also at increased risk, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "wp_query('SELECT * FROM" /var/www/html/wp-content/plugins/mdtf/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=mdtf-settings&action=update_options | grep SQLdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-54707 es actualizar el plugin MDTF a la versión 1.3.4 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa de la base de datos y archivos del sitio web antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) con reglas para bloquear consultas SQL sospechosas. Además, revise y fortalezca las políticas de seguridad de la base de datos, incluyendo el uso de contraseñas seguras y la restricción de los privilegios de acceso. Después de la actualización, verifique la integridad de la base de datos y los archivos del sitio web.
Actualice el plugin MDTF a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique la página del plugin en wordpress.org para obtener las actualizaciones más recientes y siga las instrucciones de instalación proporcionadas por el desarrollador. Asegúrese de realizar una copia de seguridad de su sitio web antes de realizar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54707 is a critical SQL Injection vulnerability affecting the MDTF WordPress plugin, allowing attackers to inject malicious SQL code and potentially compromise the database.
If you are using MDTF WordPress plugin versions 0.0.0 through 1.3.3.7, you are affected by this vulnerability. Check your plugin version and upgrade immediately.
Upgrade the MDTF WordPress plugin to version 1.3.4 or later to remediate the SQL Injection vulnerability. Consider WAF rules as a temporary workaround.
While no active exploitation has been confirmed, the SQL Injection nature of the vulnerability makes it likely that exploits will emerge. Monitor security advisories.
Refer to the MDTF plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.