Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en B1.lt para WordPress (CVE-2025-6718)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/07/2025
Última modificación:
22/07/2025

Descripción

El complemento B1.lt para WordPress es vulnerable a la inyección SQL debido a la falta de una comprobación de capacidad en la acción AJAX b1_run_query en todas las versiones hasta la 2.2.56 incluida. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, ejecutar comandos SQL arbitrarios.