Plugin WordPress Crete Core <= 1.4.3 - Vulnerabilidad de Inyección SQL
Plataforma
wordpress
Componente
crete-core
Corregido en
1.4.4
Se ha identificado una vulnerabilidad de inyección SQL ciega en Crete Core, un plugin para WordPress. Esta falla permite a un atacante inyectar comandos SQL maliciosos, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.4.3. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación temporales.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
La inyección SQL ciega permite a un atacante, aunque sin recibir respuestas directas de la base de datos, inferir información sobre su estructura y contenido. Mediante técnicas de prueba y error, pueden extraer datos sensibles como nombres de usuario, contraseñas hasheadas, información de clientes o cualquier otro dato almacenado en la base de datos. La explotación exitosa de esta vulnerabilidad podría resultar en la pérdida de control sobre el sitio web, robo de información confidencial y daño a la reputación. Aunque la inyección es ciega, la capacidad de inferir información sobre la base de datos la convierte en un riesgo significativo, similar a otras vulnerabilidades de inyección SQL que permiten la manipulación de consultas.
Contexto de Explotación
La vulnerabilidad CVE-2025-69305 fue publicada el 20 de febrero de 2026. No se ha confirmado su inclusión en el KEV de CISA, ni se dispone de un puntaje EPSS. Actualmente no se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección SQL ciega la convierte en un objetivo potencial para atacantes con conocimientos técnicos. Se recomienda monitorear activamente los registros del servidor y la base de datos en busca de actividad sospechosa.
Quién Está en Riesgotraduciendo…
Websites utilizing the Crete Core plugin, particularly those running older versions (0.0.0 – 1.4.3), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
Pasos de Deteccióntraduciendo…
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/crete-core/• generic web:
curl -I https://example.com/wp-content/plugins/crete-core/some-vulnerable-endpoint?id=1' UNION SELECT 1 -- -n• wordpress / composer / npm:
wp plugin list --status=inactive | grep crete-coreCronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Ninguno — sin impacto en integridad.
- Availability
- Bajo — denegación de servicio parcial o intermitente.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La solución principal es actualizar Crete Core a la última versión disponible, que debería incluir la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la restricción de acceso a la base de datos, la validación y sanitización rigurosa de todas las entradas del usuario, y la implementación de un firewall de aplicaciones web (WAF) que pueda detectar y bloquear intentos de inyección SQL. Además, se recomienda revisar y fortalecer las políticas de contraseñas y la configuración de seguridad del servidor WordPress. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando una inyección SQL básica en el punto vulnerable original.
Cómo corregirlo
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2025-69305 — SQL Injection in Crete Core WordPress Plugin?
CVE-2025-69305 is a critical SQL Injection vulnerability affecting versions 0.0.0–1.4.3 of the Crete Core WordPress plugin, allowing attackers to potentially extract sensitive data.
Am I affected by CVE-2025-69305 in Crete Core WordPress Plugin?
If you are using Crete Core WordPress plugin versions 0.0.0 through 1.4.3, you are potentially affected by this vulnerability. Check your plugin versions immediately.
How do I fix CVE-2025-69305 in Crete Core WordPress Plugin?
Upgrade to the latest version of the Crete Core plugin as soon as a patch is released. Until then, implement WAF rules to mitigate the risk.
Is CVE-2025-69305 being actively exploited?
As of the disclosure date, there is no confirmed active exploitation of CVE-2025-69305, but it is a critical vulnerability and should be addressed promptly.
Where can I find the official Crete Core advisory for CVE-2025-69305?
Refer to the TeconceTheme website or WordPress plugin repository for the official advisory and patch release information regarding CVE-2025-69305.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.