Vulnerabilidad en Ultimate Gift Cards para WooCommerce de WordPress (CVE-2025-5103)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
03/06/2025
Última modificación:
10/07/2025
Descripción
El complemento Ultimate Gift Cards para WooCommerce de WordPress es vulnerable a la inyección SQL booleana mediante los parámetros 'default_price' y 'product_id' en todas las versiones hasta la 3.1.4 incluida, debido a un escape insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de administrador o superior, añadir consultas SQL adicionales a las consultas existentes, que pueden utilizarse para extraer información confidencial de la base de datos.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wpswings:ultimate_gift_cards_for_woocommerce:*:*:*:*:*:wordpress:*:* | 3.1.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/woo-gift-cards-lite/tags/3.1.4/admin/class-woocommerce-gift-cards-lite-admin.php#L571
- https://plugins.trac.wordpress.org/changeset/3303359/
- https://wordpress.org/plugins/woo-gift-cards-lite/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e9e89383-a9c6-4300-970c-0b36e4d97e3d?source=cve