Plataforma
wordpress
Componente
woodly-core
Corregido en
1.4.1
Se ha descubierto una vulnerabilidad de inyección SQL ciega en Woodly Core, una extensión para WordPress. Esta falla permite a un atacante inyectar comandos SQL maliciosos, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.4 inclusive. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación inmediatas.
La inyección SQL ciega permite a un atacante extraer información sensible de la base de datos de WordPress de forma gradual, sin recibir una respuesta directa por cada consulta. Esto puede incluir credenciales de usuario, información de contacto, datos de clientes y cualquier otra información almacenada en la base de datos. Un atacante podría utilizar esta vulnerabilidad para obtener acceso no autorizado al panel de administración de WordPress, modificar contenido, eliminar datos o incluso tomar control total del sitio web. La naturaleza ciega de la inyección dificulta la detección, ya que no genera errores visibles en la aplicación, pero el impacto potencial es significativo.
La vulnerabilidad CVE-2025-69310 fue publicada el 20 de febrero de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la severidad crítica (CVSS 9.3) indica un alto riesgo. Se recomienda monitorear activamente los sistemas afectados y aplicar las medidas de mitigación lo antes posible. La naturaleza ciega de la inyección SQL puede dificultar la detección de intentos de explotación.
WordPress sites utilizing the Woodly Core plugin, particularly those running older versions (0.0.0 - 1.4), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/woodly-core/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woodly-core/ | grep SQL• wordpress / composer / npm:
wp plugin list --status=inactive | grep woodly-coredisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Woodly Core a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción de acceso a la base de datos, la validación y el saneamiento de todas las entradas de usuario, y la implementación de un firewall de aplicaciones web (WAF) para bloquear intentos de inyección SQL. Además, se recomienda revisar y fortalecer las políticas de contraseñas y habilitar la autenticación de dos factores para proteger las cuentas de usuario.
No se conoce ninguna solución disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-69310 es una vulnerabilidad de inyección SQL ciega en Woodly Core para WordPress que permite a atacantes extraer datos de la base de datos.
Si está utilizando Woodly Core en su sitio WordPress en versiones desde 0.0.0 hasta la 1.4 inclusive, es vulnerable a esta inyección SQL.
Actualice Woodly Core a la última versión disponible. Si no es posible, implemente medidas de mitigación como la restricción de acceso a la base de datos y un WAF.
Aunque no se ha confirmado la explotación activa, la alta severidad (CVSS 9.3) indica un riesgo significativo y requiere atención inmediata.
Consulte el sitio web oficial de Woodly Core o el repositorio de WordPress para obtener el aviso de seguridad correspondiente a CVE-2025-69310.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.