Plataforma
wordpress
Componente
noo-jobmonster
Corregido en
4.8.5
Se ha descubierto una vulnerabilidad de inyección SQL ciega en el plugin Jobmonster de NooTheme. Esta falla permite a atacantes maliciosos inyectar código SQL en las consultas, potencialmente comprometiendo la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones de Jobmonster desde 0.0.0 hasta la 4.8.4. Se recomienda actualizar a la versión 4.8.4 para solucionar este problema.
La inyección SQL ciega permite a un atacante, aunque sin recibir respuestas directas de la base de datos, inferir información sobre su estructura y contenido. Esto se logra mediante la inserción de consultas SQL que modifican el comportamiento de la base de datos y la observación de los efectos indirectos. En el caso de Jobmonster, un atacante podría extraer información confidencial como nombres de usuario, contraseñas hasheadas, direcciones de correo electrónico, y otros datos almacenados en la base de datos. La explotación exitosa de esta vulnerabilidad podría resultar en la pérdida de control sobre el sitio web, la manipulación de datos, y el robo de información sensible de los usuarios. Aunque la inyección es ciega, la capacidad de inferir datos de la base de datos representa un riesgo significativo.
La vulnerabilidad CVE-2026-25340 fue publicada el 25 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, la naturaleza de la inyección SQL ciega la convierte en un objetivo potencial para atacantes con conocimientos técnicos. La falta de una respuesta inmediata podría llevar a la explotación de esta vulnerabilidad en el futuro.
Websites utilizing the Jobmonster WordPress plugin, particularly those running versions 0.0.0 through 4.8.4, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with sensitive user data or financial information are also at higher risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/jobmonster/• generic web:
curl -I https://your-wordpress-site.com/jobmonster/vulnerable-endpoint?param=';-- -n• wordpress / composer / npm:
wp plugin list --status=inactive | grep jobmonster• wordpress / composer / npm:
wp plugin update jobmonsterdisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-25340 es actualizar el plugin Jobmonster a la versión 4.8.4 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de aplicar la actualización. Como medida adicional, se recomienda implementar un firewall de aplicaciones web (WAF) para filtrar tráfico malicioso y bloquear intentos de inyección SQL. Revise las configuraciones de la base de datos para asegurar que los permisos de usuario estén configurados correctamente y que solo los usuarios autorizados tengan acceso a los datos sensibles. Después de la actualización, confirme la mitigación ejecutando pruebas de penetración en el sitio web para verificar que la vulnerabilidad ha sido efectivamente resuelta.
Actualizar a la versión 4.8.4, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25340 is a critical SQL Injection vulnerability affecting the Jobmonster WordPress plugin, allowing attackers to potentially extract data through blind SQL injection.
You are affected if you are using Jobmonster WordPress plugin versions 0.0.0 through 4.8.4. Upgrade to 4.8.4 to resolve the issue.
Upgrade the Jobmonster plugin to version 4.8.4 or later. Consider implementing a WAF rule to filter malicious SQL injection attempts as a temporary workaround.
While no active exploitation has been confirmed, the CRITICAL severity and nature of the vulnerability suggest a high probability of exploitation. Monitor security advisories.
Refer to the official Jobmonster plugin website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.