Plataforma
wordpress
Componente
wolmart-core
Corregido en
1.9.7
Se ha descubierto una vulnerabilidad de inyección SQL ciega en Wolmart Core, un componente del tema Wolmart para WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.9.6, y se recomienda actualizar a la versión 1.9.7 para solucionar el problema.
La inyección SQL ciega permite a un atacante extraer información sensible de la base de datos de forma gradual, a través de consultas que no devuelven resultados directos. Esto puede incluir credenciales de usuario, información de clientes, datos de productos y otros datos confidenciales. Un atacante podría utilizar esta vulnerabilidad para obtener acceso no autorizado a la base de datos, modificar datos, o incluso tomar control del sitio web. Aunque la inyección es ciega, la persistencia del atacante puede revelar información valiosa, similar a técnicas de exfiltración de datos utilizadas en ataques a bases de datos más complejas. La severidad CRÍTICA indica un alto riesgo de explotación y un impacto significativo en la seguridad de la aplicación.
La vulnerabilidad fue publicada el 2026-02-20. No se ha reportado explotación activa a la fecha. La ausencia de un Proof of Concept (PoC) público reduce el riesgo inmediato, pero la severidad CRÍTICA indica que es probable que se desarrolle un exploit en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Websites using the Wolmart Core plugin, particularly those running e-commerce stores, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites using older, unpatched versions of the plugin are most susceptible.
• wordpress / composer / npm:
grep -r "SELECT * FROM wp_" /var/www/html/wp-content/plugins/wolmart-core/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wolmart-core/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep wolmart-coredisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Wolmart Core a la versión 1.9.7 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de mitigación temporales. Estas pueden incluir la aplicación de reglas en un Web Application Firewall (WAF) para bloquear patrones de inyección SQL comunes en las solicitudes a la base de datos. Además, revise y fortalezca las validaciones de entrada en el código de la aplicación para prevenir la inyección de caracteres especiales. Monitoree los registros de la base de datos en busca de patrones sospechosos que puedan indicar un intento de explotación.
Actualizar a la versión 1.9.7 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-69337 is a critical SQL Injection vulnerability affecting Wolmart Core WordPress plugin versions 0.0.0–1.9.6, allowing attackers to potentially extract data from the database.
If you are using Wolmart Core WordPress plugin versions 0.0.0 through 1.9.6, you are vulnerable to this SQL Injection flaw.
Upgrade the Wolmart Core plugin to version 1.9.7 or later to resolve this vulnerability. If immediate upgrade is not possible, temporarily disable the plugin.
While no active exploitation has been confirmed, the nature of blind SQL injection suggests potential for exploitation, and monitoring is recommended.
Refer to the official Wolmart Core plugin website or the don-themes support channels for the latest advisory and updates regarding CVE-2025-69337.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.