Plataforma
wordpress
Componente
nest-addons
Corregido en
1.6.4
La vulnerabilidad CVE-2025-54720 es una inyección SQL detectada en SteelThemes Nest Addons, un plugin para WordPress. Esta falla permite a atacantes inyectar código SQL malicioso, potencialmente comprometiendo la integridad de la base de datos. Afecta a las versiones desde 0.0.0 hasta la 1.6.3, siendo la versión 1.6.4 la que corrige este problema.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress, permitiéndole leer, modificar o eliminar datos sensibles. Esto incluye información de usuarios, contraseñas, datos de clientes y cualquier otra información almacenada en la base de datos. La inyección SQL también puede ser utilizada para ejecutar comandos del sistema operativo en el servidor, lo que podría llevar a una completa toma de control del sitio web. Aunque no se han reportado explotaciones públicas, la alta severidad de la vulnerabilidad la convierte en un objetivo atractivo para atacantes.
La vulnerabilidad CVE-2025-54720 fue publicada el 28 de agosto de 2025. Actualmente no se conoce la existencia de exploits públicos o campañas activas dirigidas a esta vulnerabilidad. La alta puntuación CVSS (9.3) indica un riesgo significativo y la convierte en un objetivo potencial para atacantes. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
WordPress websites utilizing the SteelThemes Nest Addons plugin, particularly those running versions 0.0.0 through 1.6.3, are at significant risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk due to potential delayed patching.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/nest-addons/• generic web:
curl -I http://your-wordpress-site.com/wp-admin/admin.php?page=nest-addons-settings&action=update_options&option_name=some_input --header "X-Custom-Header: 'OR 1=1" # Check for SQL injectiondisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-54720 es actualizar Nest Addons a la versión 1.6.4 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para filtrar las solicitudes maliciosas que intenten explotar la vulnerabilidad. También es recomendable revisar y endurecer las configuraciones de la base de datos para limitar el impacto de una posible explotación.
Actualice el plugin Nest Addons a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de las entradas del usuario, para prevenir futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54720 is a critical SQL Injection vulnerability affecting SteelThemes Nest Addons, allowing attackers to potentially extract or modify database data.
You are affected if you are using Nest Addons versions 0.0.0 through 1.6.3. Upgrade to 1.6.4 to mitigate the risk.
Upgrade Nest Addons to version 1.6.4 or later. Consider WAF rules as an interim measure if immediate upgrade is not possible.
Currently, there are no confirmed reports of active exploitation, but monitoring is recommended.
Refer to the SteelThemes website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.