La vulnerabilidad CVE-2025-10649 afecta al plugin Welcart e-Commerce para WordPress (hasta versión 2.11.21). Permite a atacantes con rol de autor o superior ejecutar inyección SQL mediante cookies. Publicada el 8 de octubre de 2025, tiene una puntuación CVSSv3 de 6.5 (riesgo medio).
El problema se origina en el manejo insuficiente de valores provenientes de cookies por parte del plugin; no se realiza un escape o preparación adecuada de las consultas SQL que integran dichos valores. Un usuario autenticado con rol Author puede explotar esta debilidad para anexar consultas SQL adicionales a operaciones legítimas, lo que podría derivar en la exfiltración de datos, acceso a información sensible o manipulación de registros en la base de datos.
Sobre la vulnerabilidad
- CVE-2025-10649: SQLi en Welcart e-Commerce (≤2.11.21) — permite a usuarios con rol Author o superior inyectar consultas manipulando cookies.
- Tipo: Inyección SQL autenticada (CWE-89).
- Vector: Valor de cookie manipulado por un atacante autenticado (Author+).
- Afecta: Plugin Welcart e‑Commerce (usc-e-shop) <= 2.11.21.
- Privilegios requeridos: Cuenta autenticada con rol Author o superior.
- Puntuación: CVSSv3 6.5 (Media).
Impacto
- Exfiltración de datos almacenados en la base de datos del sitio (usuarios, pedidos, configuraciones).
- Manipulación o borrado de registros críticos (productos, pedidos, configuraciones).
- Escalada de impacto si el sitio comparte credenciales o accesos a sistemas internos.
- Riesgos adicionales para entornos multisite o instalaciones con privilegios compartidos.
Versiones afectadas y soluciones
Se confirma que versiones hasta la 2.11.21 (inclusive) son vulnerables. Los mantenedores han publicado parches y se recomienda actualizar a la última versión disponible del plugin inmediatamente. Consulte el historial de cambios y el commit de seguridad en el repositorio de plugins para confirmar la versión de corrección.
Indicadores de compromiso (IoC)
- Presencia de solicitudes HTTP POST/GET que incluyen valores de cookie inusuales o con fragmentos SQL (‘ OR 1=1 –‘, ‘UNION SELECT’, etc.).
- Registro de consultas SQL atípicas en logs de la base de datos (consultas concatenadas o subconsultas inesperadas).
- Cambios inesperados en tablas relacionadas con usuarios, pedidos o productos.
- Creación de usuarios o cambios en roles tras la interacción de cuentas Author.
- Tráfico anómalo desde IPs asociadas a atacantes conocidos.
Recomendaciones
Acciones inmediatas:
- Actualizar el plugin Welcart e‑Commerce a la versión parcheada más reciente.
- Restringir temporalmente el acceso a cuentas con rol Author.
- Revisar logs y bases de datos para detectar patrones de IoC.
- Auditar integridad en tablas críticas (usuarios, pedidos, wp_options).
Acciones a mediano plazo:
- Implementar WAF con detección de patrones de SQLi en cookies y parámetros.
- Habilitar MFA para cuentas administrativas.
- Aplicar buenas prácticas de desarrollo seguro (prepared statements, validación de entradas).
Referencias:
[1] Vulmon — CVE‑2025‑10649: SQL Injection in Welcart e‑Commerce WordPress Plugin. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10649
[2] Wordfence — Welcart e‑Commerce ≤ 2.11.21 – SQL Injection autenticado vía cookie. https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/usc-e-shop/welcart-e-commerce-21121-authenticated-author-sql-injection-via-cookie
[3] GitHub Advisory — Welcart e‑Commerce plugin vulnerabilidad. https://github.com/advisories/GHSA-jgfq-fj6m-6wxm
[4] SecAlerts — listado de CVE‑2025‑10649. https://secalerts.co/vulnerability/CVE-2025-10649
[5] NVD (National Vulnerability Database) — entrada oficial del CVE. https://nvd.nist.gov/vuln/detail/CVE-2025-10649ess-plugins/events-manager/events-manager-calendar-bookings-tickets-and-more-663-unauthenticated-sql-injection-via-event-status-parameter.