Plataforma
wordpress
Componente
tplayer-html5-audio-player-with-playlist
Corregido en
1.2.2
Se ha descubierto una vulnerabilidad de inyección SQL en el reproductor multimedia tPlayer, específicamente en las versiones desde la inicial hasta la 1.2.1.6. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad ha sido publicada el 18 de diciembre de 2025 y requiere atención inmediata para evitar posibles ataques.
La inyección SQL en tPlayer permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos subyacente. Esto puede resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos personales y detalles de configuración. Un atacante podría modificar datos, eliminar registros o incluso tomar el control completo de la base de datos. La severidad crítica de esta vulnerabilidad (CVSS 9.3) indica un alto riesgo de explotación y un impacto significativo en la seguridad de las aplicaciones que utilizan tPlayer. La falta de sanitización adecuada de las entradas del usuario es la causa principal de esta vulnerabilidad, similar a otras fallas de inyección SQL que han afectado a numerosas aplicaciones web.
La vulnerabilidad CVE-2025-60062 fue publicada el 18 de diciembre de 2025. Actualmente no se dispone de información sobre su inclusión en el KEV de CISA ni sobre la existencia de campañas de explotación activas. Sin embargo, dada la severidad de la vulnerabilidad y la facilidad de explotación de las inyecciones SQL, es probable que se convierta en un objetivo para atacantes. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
WordPress websites using the tPlayer plugin are at risk, particularly those with default configurations or limited security hardening. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/tplayer/• generic web:
curl -I https://example.com/wp-content/plugins/tplayer/ | grep SQLdisclosure
Estado del Exploit
EPSS
0.04% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión de tPlayer que corrija esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad temporales. Estas pueden incluir la restricción del acceso a la base de datos, la implementación de una Web Application Firewall (WAF) con reglas para detectar y bloquear ataques de inyección SQL, y la validación y sanitización exhaustiva de todas las entradas del usuario. Es crucial revisar la configuración de la base de datos para asegurar que se apliquen los principios de mínimo privilegio. Después de la actualización, confirme la mitigación ejecutando pruebas de penetración para verificar que la vulnerabilidad ha sido resuelta.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-60062 is a critical SQL Injection vulnerability affecting versions 0–1.2.1.6 of the tPlayer WordPress plugin, allowing attackers to inject malicious SQL code.
If you are using the tPlayer WordPress plugin in versions 0–1.2.1.6, you are potentially affected by this vulnerability. Immediate action is required.
Currently, there is no official patch. Mitigate by disabling the plugin, implementing a WAF, and monitoring database logs. Upgrade as soon as a patch is released.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high risk of future exploitation.
Refer to the plugin developer's website or WordPress.org plugin repository for updates and advisories regarding CVE-2025-60062.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.