Plataforma
wordpress
Componente
allmart-core
Corregido en
1.1.1
Se ha descubierto una vulnerabilidad de inyección ciega de SQL (SQL Injection) en Allmart, un componente para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.1 inclusive. Se recomienda actualizar a la versión más reciente o implementar medidas de mitigación.
La inyección ciega de SQL permite a un atacante extraer información sensible de la base de datos de Allmart, incluso si no reciben una respuesta directa de cada consulta. Esto se logra mediante el envío de consultas SQL que evalúan condiciones y observan el comportamiento del sistema para inferir la información. Un atacante podría, por ejemplo, determinar la estructura de la base de datos, extraer nombres de usuario y contraseñas, o incluso modificar datos. La falta de validación adecuada de las entradas del usuario en Allmart es la causa raíz de esta vulnerabilidad, similar a otras explotaciones de SQL Injection que han afectado a sistemas WordPress en el pasado. El impacto potencial es significativo, pudiendo resultar en la pérdida de datos, la toma de control del sitio web y el compromiso de la información de los usuarios.
La vulnerabilidad CVE-2025-69304 ha sido publicada el 2026-02-20. La probabilidad de explotación es considerada alta debido a la naturaleza crítica de la vulnerabilidad y la disponibilidad de técnicas de inyección ciega de SQL. No se han reportado campañas de explotación activas a la fecha, pero la falta de una versión corregida disponible aumenta el riesgo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Websites using the Allmart WordPress theme, particularly those with sensitive data stored in the database, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/allmart-core/• generic web:
curl -I https://your-wordpress-site.com/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep allmart• wordpress / composer / npm:
wp plugin update allmartdisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Allmart a la versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de mitigación temporales. Es crucial implementar una validación y saneamiento riguroso de todas las entradas del usuario que se utilizan en consultas SQL. Se recomienda utilizar consultas preparadas o procedimientos almacenados para evitar la inyección de código. Además, se puede configurar un firewall de aplicaciones web (WAF) para bloquear patrones de ataque comunes de SQL Injection. Monitorear los registros del servidor en busca de intentos de inyección de SQL también es esencial. Una vez aplicada la actualización, verificar la integridad de la base de datos y la configuración del componente Allmart.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-69304 is a critical SQL Injection vulnerability in the Allmart WordPress theme, allowing attackers to extract data via blind SQL injection. It affects versions 0.0.0–1.1.
If you are using the Allmart WordPress theme versions 0.0.0 through 1.1, you are potentially affected by this vulnerability. Check your theme version immediately.
Upgrade to a patched version of the Allmart WordPress theme as soon as it's released. Until then, implement a WAF and sanitize user inputs.
Active exploitation is not yet confirmed, but the high severity warrants immediate attention and proactive mitigation.
Please refer to the Allmart theme developer's website or WordPress plugin repository for the official advisory and patch release.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.