Plataforma
wordpress
Componente
jquery-archive-list-widget
Corregido en
6.1.7
Se ha identificado una vulnerabilidad de inyección SQL en el widget JS Archive List, afectando a versiones desde 0.0.0 hasta 6.1.6. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad fue publicada el 20 de agosto de 2025 y se recomienda actualizar a la versión 6.1.6 para solucionar el problema.
La inyección SQL en JS Archive List permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto puede resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos de clientes y otra información confidencial almacenada en la base de datos. Un atacante también podría modificar o eliminar datos, comprometiendo la funcionalidad del sitio web. Dada la naturaleza crítica de la inyección SQL, esta vulnerabilidad podría permitir el control total del sitio web y la base de datos subyacente, similar a ataques observados en otros sistemas con vulnerabilidades SQL Injection.
La vulnerabilidad CVE-2025-54726 fue publicada el 20 de agosto de 2025. No se ha confirmado la inclusión en el KEV de CISA, ni se ha determinado un EPSS score. Actualmente no se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza crítica de la inyección SQL sugiere un alto riesgo de explotación en el futuro. Se recomienda monitorear activamente los sistemas afectados.
WordPress websites utilizing the JS Archive List plugin, particularly those running older versions (0.0.0 - 6.1.6), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "JS Archive List" /var/www/html/wp-content/plugins/
wp plugin list | grep "JS Archive List"• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/js-archive-list-widget/ | grep Serverdisclosure
Estado del Exploit
EPSS
0.92% (76% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-54726 es actualizar el widget JS Archive List a la versión 6.1.6 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa de la base de datos y los archivos del sitio antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) con reglas para filtrar consultas SQL maliciosas dirigidas al widget. Además, revise y fortalezca las medidas de seguridad de la base de datos, como el uso de contraseñas seguras y la limitación de los privilegios de acceso.
Actualice el plugin JS Archive List a una versión superior a 6.1.6 para mitigar la vulnerabilidad de inyección SQL. Verifique la página del plugin en wordpress.org para obtener la última versión disponible y siga las instrucciones de actualización proporcionadas por el desarrollador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54726 is a critical SQL Injection vulnerability affecting JS Archive List versions 0.0.0 through 6.1.6, allowing attackers to inject malicious SQL code.
If you are using JS Archive List version 0.0.0 through 6.1.6 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade JS Archive List to version 6.1.6 or later to resolve the SQL Injection vulnerability. Consider WAF rules as a temporary workaround.
While no confirmed exploitation is public, the vulnerability's severity and ease of exploitation suggest a high probability of active exploitation.
Refer to the official JS Archive List project website or relevant security forums for the latest advisory and updates regarding CVE-2025-54726.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.