Plataforma
wordpress
Componente
automotive
Corregido en
18.6.1
Se ha descubierto una vulnerabilidad de inyección SQL ciega en el plugin Automotive Listings para WordPress. Esta falla, clasificada como CRÍTICA, permite a un atacante inyectar comandos SQL maliciosos, comprometiendo potencialmente la integridad de los datos almacenados. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 18.6 inclusive. Una actualización a la versión 18.7 soluciona esta vulnerabilidad.
La inyección SQL ciega permite a un atacante extraer información sensible de la base de datos de WordPress de forma gradual, sin recibir una respuesta directa por cada consulta. Esto puede incluir credenciales de usuario, información de contacto, detalles de transacciones y otros datos confidenciales. Un atacante podría utilizar esta vulnerabilidad para modificar datos, insertar registros falsos o incluso tomar control completo del sitio web. Aunque la inyección es ciega, la persistencia puede llevar a la exposición de información crítica. La naturaleza ciega de la inyección dificulta la detección, pero no la hace imposible.
La vulnerabilidad CVE-2025-67928 fue publicada el 8 de enero de 2026. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección SQL ciega la convierte en un vector de ataque potencialmente peligroso. Se recomienda monitorear activamente los sistemas afectados.
Websites utilizing themesuite Automotive Listings plugin, particularly those handling sensitive customer data or financial transactions, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "themesuite/automotive-listings" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep automotive-listings• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/automotive-listings/ | grep -i 'automotive-listings'• generic web: Review WordPress access and error logs for suspicious SQL queries or error messages related to the Automotive Listings plugin. Look for patterns indicative of SQL injection attempts.
disclosure
Estado del Exploit
EPSS
0.05% (14% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Automotive Listings a la versión 18.7 o superior, donde se ha corregido la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas que bloqueen consultas SQL sospechosas. Revise los logs de WordPress en busca de patrones de inyección SQL y configure alertas para detectar actividades anómalas. Implementar una validación y sanitización robusta de todas las entradas de usuario es una práctica recomendada para prevenir futuras inyecciones SQL.
Actualizar a la versión 18.7, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67928 is a critical SQL Injection vulnerability affecting themesuite Automotive Listings plugin versions 0.0.0–18.6, allowing attackers to potentially extract data through blind SQL injection.
If you are using Automotive Listings versions 0.0.0 through 18.6, you are vulnerable to this SQL Injection flaw. Check your plugin version immediately.
Upgrade Automotive Listings to version 18.7 or later to resolve this vulnerability. If immediate upgrade is not possible, implement temporary mitigations like WAF rules and input validation.
While no active exploitation has been publicly confirmed, the CRITICAL severity suggests it could become a target. Monitor security advisories and threat intelligence.
Refer to the themesuite website and WordPress plugin repository for the official advisory and update information regarding CVE-2025-67928.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.