Plataforma
wordpress
Componente
crete-core
Corregido en
1.4.4
Se ha identificado una vulnerabilidad de inyección SQL ciega en Crete Core, un plugin para WordPress. Esta falla permite a un atacante inyectar comandos SQL maliciosos, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.4.3. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación temporales.
La inyección SQL ciega permite a un atacante, aunque sin recibir respuestas directas de la base de datos, inferir información sobre su estructura y contenido. Mediante técnicas de prueba y error, pueden extraer datos sensibles como nombres de usuario, contraseñas hasheadas, información de clientes o cualquier otro dato almacenado en la base de datos. La explotación exitosa de esta vulnerabilidad podría resultar en la pérdida de control sobre el sitio web, robo de información confidencial y daño a la reputación. Aunque la inyección es ciega, la capacidad de inferir información sobre la base de datos la convierte en un riesgo significativo, similar a otras vulnerabilidades de inyección SQL que permiten la manipulación de consultas.
La vulnerabilidad CVE-2025-69305 fue publicada el 20 de febrero de 2026. No se ha confirmado su inclusión en el KEV de CISA, ni se dispone de un puntaje EPSS. Actualmente no se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección SQL ciega la convierte en un objetivo potencial para atacantes con conocimientos técnicos. Se recomienda monitorear activamente los registros del servidor y la base de datos en busca de actividad sospechosa.
Websites utilizing the Crete Core plugin, particularly those running older versions (0.0.0 – 1.4.3), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/crete-core/• generic web:
curl -I https://example.com/wp-content/plugins/crete-core/some-vulnerable-endpoint?id=1' UNION SELECT 1 -- -n• wordpress / composer / npm:
wp plugin list --status=inactive | grep crete-coredisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Crete Core a la última versión disponible, que debería incluir la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la restricción de acceso a la base de datos, la validación y sanitización rigurosa de todas las entradas del usuario, y la implementación de un firewall de aplicaciones web (WAF) que pueda detectar y bloquear intentos de inyección SQL. Además, se recomienda revisar y fortalecer las políticas de contraseñas y la configuración de seguridad del servidor WordPress. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando una inyección SQL básica en el punto vulnerable original.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-69305 is a critical SQL Injection vulnerability affecting versions 0.0.0–1.4.3 of the Crete Core WordPress plugin, allowing attackers to potentially extract sensitive data.
If you are using Crete Core WordPress plugin versions 0.0.0 through 1.4.3, you are potentially affected by this vulnerability. Check your plugin versions immediately.
Upgrade to the latest version of the Crete Core plugin as soon as a patch is released. Until then, implement WAF rules to mitigate the risk.
As of the disclosure date, there is no confirmed active exploitation of CVE-2025-69305, but it is a critical vulnerability and should be addressed promptly.
Refer to the TeconceTheme website or WordPress plugin repository for the official advisory and patch release information regarding CVE-2025-69305.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.