Plataforma
wordpress
Componente
miraculous
Corregido en
2.0.10
Se ha identificado una vulnerabilidad de inyección SQL en el tema Miraculous para WordPress. Esta falla permite a un atacante inyectar comandos SQL maliciosos, potencialmente comprometiendo la base de datos del sitio web. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.0.9. Una actualización a la versión 2.0.10 resuelve este problema.
La inyección SQL en Miraculous Theme permite a un atacante acceder, modificar o eliminar datos sensibles almacenados en la base de datos de WordPress. Esto incluye información de usuarios, contraseñas, contenido del sitio web y otra información confidencial. Un atacante podría utilizar esta vulnerabilidad para tomar el control completo del sitio web, robar datos o realizar ataques de denegación de servicio. La naturaleza 'blind' de la inyección SQL implica que el atacante no ve directamente los resultados de las consultas, pero aún puede inferir información sobre la estructura de la base de datos y extraer datos sensibles a través de técnicas de inferencia.
La vulnerabilidad CVE-2025-58628 fue publicada el 5 de septiembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. Sin embargo, dada la severidad de la vulnerabilidad (CVSS 9.3) y la naturaleza 'blind' de la inyección SQL, es probable que sea objeto de escaneos automatizados y posibles ataques en el futuro.
Websites using the Miraculous WordPress theme, particularly those running older, unpatched versions (0.0.0–2.0.9), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/themes/miraculous/includes/• generic web: ```bash curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=miraculous-settings&action=updateoption&optionname=some_input' --header "X-Custom-Header: \""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
disclosure
patch
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-58628 es actualizar el tema Miraculous a la versión 2.0.10 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se recomienda implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en los parámetros de consulta. Además, revise y fortalezca las medidas de seguridad de la base de datos, como el uso de contraseñas seguras y la limitación de los privilegios de acceso. Después de la actualización, verifique la integridad de la base de datos y la funcionalidad del sitio web.
Actualice el tema Miraculous a la versión 2.0.10 o superior para mitigar la vulnerabilidad de inyección SQL. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de actualizar cualquier tema o plugin. Verifique que su base de datos esté correctamente configurada y protegida contra inyecciones SQL.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58628 is a critical SQL Injection vulnerability affecting the Miraculous WordPress theme, allowing attackers to potentially extract sensitive data from the database.
You are affected if your WordPress site uses the Miraculous theme in versions 0.0.0 through 2.0.9. Upgrade to 2.0.10 or later to mitigate the risk.
Upgrade the Miraculous WordPress theme to version 2.0.10 or later. Consider implementing a WAF as a temporary workaround if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests it may be targeted soon.
Refer to the official Miraculous theme documentation or website for the latest security advisory regarding CVE-2025-58628.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.