Fuente base de datos: Wordfence Intelligence

ProfileGrid – User Profiles, Groups and Communities <= 5.9.4.7 - Authenticated (Subscriber+) SQL Injection

PLUGIN MEDIUM CVE-2025-0723

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin ProfileGrid – User Profiles, Groups and Communities, que afecta a las versiones hasta la 5.9.4.7. Esta vulnerabilidad permite a usuarios autenticados con rol de suscriptor o superior ejecutar consultas SQL maliciosas.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas de los usuarios, permitiendo inyecciones SQL a través de parámetros no sanitizados. Esto expone la base de datos a manipulaciones no autorizadas, afectando la integridad de los datos.

Impacto potencial

El impacto potencial incluye la exposición de datos sensibles, alteración de la base de datos y posible acceso no autorizado a información crítica. Esto puede resultar en daños a la reputación de la empresa y pérdida de confianza por parte de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas a través de formularios del plugin, aprovechando la falta de validación en las entradas de usuario.

Mitigación recomendada

Actualizar el plugin a la versión 5.9.4.8 o superior. Además, se recomienda revisar y reforzar las medidas de seguridad en la entrada de datos y realizar auditorías periódicas de seguridad.

Señales de detección

Señales de explotación pueden incluir registros de errores SQL en el servidor, solicitudes inusuales en los formularios del plugin y cambios inesperados en la base de datos.

Alcance afectado

Las versiones del plugin ProfileGrid hasta la 5.9.4.7 son vulnerables. Se recomienda a todos los usuarios que utilicen este plugin que realicen la actualización correspondiente.