Plataforma
wordpress
Componente
woo-mailerlite
Corregido en
3.1.3
Se ha descubierto una vulnerabilidad de inyección SQL en la integración MailerLite – WooCommerce para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.1.2, y se recomienda actualizar a la versión 3.1.3 para solucionar el problema.
La inyección SQL permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos de la tienda WooCommerce. Esto puede resultar en la extracción de información sensible como nombres de usuario, contraseñas, datos de clientes, información de productos y detalles de transacciones. Un atacante podría incluso modificar o eliminar datos, causando daños significativos a la operación de la tienda. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto potencial considerable. La posibilidad de acceso no autorizado a la base de datos es comparable a la de otras vulnerabilidades de SQL Injection que han afectado a plataformas de comercio electrónico.
Esta vulnerabilidad fue publicada el 22 de enero de 2026. No se ha reportado su inclusión en el KEV de CISA ni se conocen públicamente pruebas de concepto (PoC) activas. Sin embargo, dada la severidad CRÍTICA y la naturaleza común de las vulnerabilidades de SQL Injection, existe un riesgo potencial de explotación, especialmente si se descubre un PoC público.
Websites utilizing the MailerLite – WooCommerce integration plugin, particularly those running older versions (0.0.0–3.1.2), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise on one site could potentially impact others. Sites with weak database user permissions also face increased risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/woo-mailerlite/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woo-mailerlite/ | grep SQL• wordpress / composer / npm:
wp plugin list --status=active | grep woo-mailerlitedisclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar la integración MailerLite – WooCommerce a la versión 3.1.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa de la base de datos y los archivos del sitio antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para filtrar las consultas SQL maliciosas. Además, revise y endurezca la configuración de la base de datos para limitar los privilegios de acceso. Después de la actualización, verifique la integridad de la base de datos y los registros del sitio en busca de signos de actividad sospechosa.
Actualizar a la versión 3.1.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67945 is a critical SQL Injection vulnerability affecting the MailerLite – WooCommerce integration plugin for WordPress, allowing attackers to inject malicious SQL code.
You are affected if you are using MailerLite – WooCommerce integration versions 0.0.0 through 3.1.2. Upgrade to 3.1.3 or later to mitigate the risk.
Upgrade the MailerLite – WooCommerce integration plugin to version 3.1.3 or later. Consider a WAF as a temporary workaround if upgrading is not immediately possible.
While no confirmed active exploitation has been publicly reported, the vulnerability's severity makes it a likely target for attackers.
Refer to the official MailerLite security advisory for details and updates regarding CVE-2025-67945.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.