Plataforma
wordpress
Componente
paid-downloads
Corregido en
3.15.1
Se ha identificado una vulnerabilidad de inyección SQL ciega en el plugin Paid Downloads para WordPress. Esta falla permite a un atacante inyectar comandos SQL maliciosos, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.15 inclusive. Se recomienda actualizar a la versión corregida lo antes posible.
La inyección SQL ciega permite a un atacante extraer información sensible de la base de datos de WordPress de forma gradual, sin necesidad de ver directamente la respuesta del servidor. Esto puede incluir nombres de usuario, contraseñas, información de clientes, datos de transacciones y otros datos confidenciales. Un atacante podría utilizar esta vulnerabilidad para obtener acceso no autorizado a la base de datos, modificar datos, o incluso tomar control del sitio web. La naturaleza ciega de la inyección dificulta la detección, ya que los ataques se realizan a través de consultas que no devuelven resultados directos, sino que se basan en la respuesta del servidor para inferir información. La explotación exitosa podría resultar en una brecha de datos significativa y daños a la reputación.
La vulnerabilidad ha sido publicada el 22 de enero de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la inyección SQL ciega hace que sea difícil de detectar. La falta de una versión corregida inmediata aumenta el riesgo de explotación. Se recomienda monitorear la situación y aplicar las mitigaciones recomendadas hasta que se disponga de una actualización.
WordPress sites utilizing the ichurakov Paid Downloads plugin, particularly those running versions 0.0.0 through 3.15, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others. Sites with weak database user permissions are also at higher risk.
• wordpress / composer / npm:
grep -r "ichurakov Paid Downloads" /var/www/html/
wp plugin list | grep 'Paid Downloads'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/paid-downloads/ | grep 'X-Powered-By'disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Paid Downloads a la versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de seguridad adicionales. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección SQL puede ayudar a prevenir ataques. Además, se recomienda revisar y endurecer la configuración de la base de datos de WordPress, limitando los privilegios de los usuarios y aplicando las últimas actualizaciones de seguridad. Monitorear los registros del servidor en busca de patrones sospechosos de inyección SQL también es crucial. Se debe evitar el uso de funciones de WordPress que construyan consultas SQL dinámicamente sin una validación y sanitización adecuadas de las entradas del usuario.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68857 is a critical SQL Injection vulnerability affecting the ichurakov Paid Downloads plugin for WordPress, allowing attackers to potentially extract data via blind SQL injection.
If you are using the Paid Downloads plugin in WordPress versions 0.0.0 through 3.15, you are potentially affected by this vulnerability. Upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the Paid Downloads plugin. Until then, implement WAF rules and restrict database user permissions.
While no public exploits are currently known, the nature of blind SQL injection means exploitation is feasible, and proactive mitigation is recommended.
Refer to the ichurakov Paid Downloads plugin website and WordPress.org plugin repository for official advisories and updates regarding CVE-2025-68857.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.