Plataforma
wordpress
Componente
cleverreach-wp
Corregido en
1.5.22
Se ha identificado una vulnerabilidad de inyección SQL en CleverReach® WP, un plugin para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados. La vulnerabilidad afecta a las versiones desde la n/a hasta la 1.5.21, y se recomienda actualizar a la versión 1.5.22 para mitigar el riesgo.
La inyección SQL en CleverReach® WP permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos subyacente. Esto puede resultar en la exfiltración de información sensible, como nombres de usuario, contraseñas, direcciones de correo electrónico y datos de clientes. Un atacante también podría modificar o eliminar datos, comprometiendo la integridad del sistema. La severidad crítica de la vulnerabilidad, con un CVSS de 9.3, indica un alto riesgo de explotación y un impacto significativo en la seguridad de las aplicaciones que utilizan CleverReach® WP. La falta de sanitización adecuada de las entradas del usuario facilita la inyección de código SQL.
La vulnerabilidad CVE-2025-68034 fue publicada el 22 de enero de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS indica una alta probabilidad de que sea explotada en el futuro. Se recomienda monitorear los sistemas afectados en busca de signos de actividad maliciosa. No se ha añadido a KEV en este momento.
Websites utilizing CleverReach® WP for email marketing and automation, particularly those storing sensitive user data within the plugin's database, are at significant risk. Shared hosting environments where multiple websites share the same database are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/cleverreach-wp/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/cleverreach-wp/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep cleverreach-wpdisclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar CleverReach® WP a la versión 1.5.22 o superior, que incluye la corrección de la inyección SQL. Si la actualización causa problemas de compatibilidad, se recomienda realizar una copia de seguridad completa de la base de datos y del sitio web antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para bloquear consultas SQL sospechosas. Además, se recomienda revisar y fortalecer las políticas de seguridad de la base de datos, incluyendo la restricción de privilegios de usuario y la implementación de auditorías de seguridad.
Actualizar a la versión 1.5.22, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68034 is a critical SQL Injection vulnerability in CleverReach® WP, allowing attackers to inject malicious SQL code and potentially access sensitive data. It affects versions 0.0 - 1.5.21.
You are affected if you are using CleverReach® WP versions 0.0 through 1.5.21. Immediately upgrade to 1.5.22 or later to mitigate the risk.
Upgrade CleverReach® WP to version 1.5.22 or later. If immediate upgrade is not possible, implement WAF rules to filter malicious SQL injection attempts.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the CleverReach® WP website and their security advisory page for the official announcement and further details regarding CVE-2025-68034.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.