Plataforma
wordpress
Componente
learts-addons
Corregido en
1.7.6
La vulnerabilidad CVE-2025-59557 es una inyección SQL detectada en el plugin Learts Addons, afectando versiones desde 0.0.0 hasta la 1.7.5. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo la integridad y confidencialidad de la base de datos. La versión 1.7.6 corrige esta vulnerabilidad, y se recomienda su implementación inmediata.
La inyección SQL en Learts Addons permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos del sitio WordPress. Esto puede resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos de clientes y otra información confidencial almacenada en la base de datos. Un atacante también podría modificar o eliminar datos, comprometiendo la funcionalidad del sitio web y la integridad de los datos. La severidad crítica de esta vulnerabilidad se debe a la facilidad con la que se puede explotar y el potencial daño que puede causar, similar a otras vulnerabilidades de inyección SQL que han afectado a sitios web populares.
La vulnerabilidad CVE-2025-59557 fue publicada el 22 de octubre de 2025. No se ha reportado explotación activa a la fecha, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear los registros del servidor y la base de datos en busca de actividad sospechosa. La vulnerabilidad no se encuentra en el KEV de CISA ni tiene un EPSS score asignado.
WordPress websites utilizing the Learts Addons plugin, particularly those handling sensitive user data or financial transactions, are at significant risk. Shared hosting environments where multiple websites share the same database are also at increased risk, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "learts-addons" /var/www/html/
wp plugin list | grep learts-addons• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/learts-addons/ | grep SQLdisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-59557 es actualizar Learts Addons a la versión 1.7.6 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para filtrar consultas SQL maliciosas. Además, revise los permisos de la base de datos para asegurar que el usuario de WordPress tenga los privilegios mínimos necesarios. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando una inyección SQL básica en el área afectada.
Actualice el plugin Learts Addons a la versión 1.7.6 o superior para mitigar la vulnerabilidad de inyección SQL. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de las entradas del usuario, para prevenir futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59557 is a critical SQL Injection vulnerability affecting Learts Addons for WordPress, allowing attackers to inject malicious SQL code and potentially access sensitive data.
You are affected if you are using Learts Addons versions 0.0.0 through 1.7.5. Upgrade to 1.7.6 to mitigate the risk.
Upgrade the Learts Addons plugin to version 1.7.6 or later. If immediate upgrade is not possible, implement WAF rules and sanitize user inputs.
As of the publication date, there is no confirmed active exploitation, but the CRITICAL severity suggests a high potential for exploitation.
Refer to the official Learts Addons website or their security advisory page for the latest information and updates regarding CVE-2025-59557.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.