Fuente base de datos: Wordfence Intelligence

ProfileGrid <= 5.9.5.3 - Authenticated (Subscriber+) SQL Injection

PLUGIN MEDIUM CVE-2025-49033

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin ProfileGrid, que afecta a las versiones hasta la 5.9.5.3. Esta vulnerabilidad permite a usuarios autenticados con rol de suscriptor o superior ejecutar consultas SQL maliciosas.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas de los usuarios, permitiendo que se inyecten comandos SQL a través de parámetros no sanitizados. Esto expone la base de datos a posibles manipulaciones no autorizadas, afectando la integridad de la información almacenada.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante acceda a datos sensibles, modifique información o incluso comprometa la instalación de WordPress en su totalidad. Esto podría resultar en pérdidas económicas y daños a la reputación de la organización.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante el envío de solicitudes manipuladas a las funciones del plugin que interactúan con la base de datos, permitiendo la ejecución de comandos SQL no deseados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin ProfileGrid a la versión 5.9.5.4 o superior. Además, se sugiere revisar los registros de acceso y las configuraciones de permisos de los usuarios para limitar el acceso a funciones críticas.

Señales de detección

Señales de riesgo incluyen actividades inusuales en los registros de acceso, como intentos de inyección SQL o patrones de acceso anómalos por parte de usuarios autenticados.

Alcance afectado

Las versiones de ProfileGrid hasta la 5.9.5.3 son las afectadas. Cualquier instalación que utilice estas versiones está en riesgo.