Vulnerabilidad en CleverReach® WP para WordPress (CVE-2025-7036)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
06/08/2025
Última modificación:
15/04/2026
Descripción
El complemento CleverReach® WP para WordPress es vulnerable a la inyección SQL basada en tiempo a través del parámetro "title" en todas las versiones hasta la 1.5.20 incluida, debido a un escape insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente. Esto permite a atacantes no autenticados añadir consultas SQL adicionales a las consultas ya existentes, que pueden utilizarse para extraer información confidencial de la base de datos.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/cleverreach-wp/tags/1.5.20/Controllers/class-clever-reach-article-search-controller.php#L159
- https://plugins.trac.wordpress.org/changeset/3340958/cleverreach-wp/trunk/Controllers/class-clever-reach-article-search-controller.php
- https://wordpress.org/plugins/cleverreach-wp/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/764041ca-65cd-498c-97e5-a33d7b54a2b9?source=cve