Plataforma
wordpress
Componente
lumise
Corregido en
2.0.10
Se ha identificado una vulnerabilidad de inyección SQL ciega en Lumise Product Designer, un plugin para WordPress. Esta falla permite a un atacante ejecutar consultas SQL maliciosas, comprometiendo potencialmente la integridad y confidencialidad de los datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.0.9, y se recomienda actualizar a la versión 2.0.9 para solucionar el problema.
La inyección SQL ciega permite a un atacante extraer información sensible de la base de datos de forma gradual, sin recibir respuestas directas del servidor. Esto puede incluir credenciales de usuario, información de clientes, datos de productos y otra información confidencial. Un atacante podría utilizar esta vulnerabilidad para obtener acceso no autorizado a la base de datos, modificar datos, o incluso tomar control del sitio web. La naturaleza ciega de la inyección dificulta su detección, ya que no genera errores visibles en la aplicación, pero el impacto potencial es significativo, similar a otras explotaciones de inyección SQL que han comprometido grandes bases de datos.
Esta vulnerabilidad fue publicada el 25 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas activas al momento de la publicación. Sin embargo, dada la severidad de la vulnerabilidad (CVSS 9.3), es probable que sea objeto de escaneo y explotación por parte de actores maliciosos.
WordPress websites utilizing the Lumise Product Designer plugin, particularly those running versions 0.0.0 through 2.0.9, are at immediate risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "lumise_product_designer" /var/www/html/wp-content/plugins/
wp plugin list | grep lumise_product_designer• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=lumise-designer-settings # Check for unusual parametersdisclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Lumise Product Designer a la versión 2.0.9, donde se ha solucionado el problema. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web y la base de datos antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para bloquear consultas SQL sospechosas. Además, revise y fortalezca las políticas de seguridad de la base de datos, incluyendo el uso de contraseñas seguras y la limitación de los privilegios de acceso.
Actualizar a la versión 2.0.9 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25371 is a critical SQL Injection vulnerability affecting the Lumise Product Designer WordPress plugin, allowing attackers to potentially extract data via blind SQL injection.
If you are using Lumise Product Designer versions 0.0.0 through 2.0.9 on your WordPress site, you are affected by this vulnerability.
Upgrade the Lumise Product Designer plugin to version 2.0.9 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround.
While no public exploits are currently known, the high severity score suggests a high probability of exploitation, and proactive patching is recommended.
Refer to the Lumise Product Designer website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.