Scanner gratuitement
HIGHCVE-2025-14615CVSS 7.1

DASHBOARD BUILDER <= 1.5.7 - Cross-Site Request Forgery vers (SQL Injection)

Plateforme

wordpress

Composant

dashboard-builder

Corrigé dans

1.5.8

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2025-14615 affecte le plugin WordPress DASHBOARD BUILDER – WordPress plugin for Charts and Graphs, des versions 1.0.0 à 1.5.7 incluses. Cette faille de type SQL Injection est due à un manque de validation des nonces dans le gestionnaire de paramètres (dashboardbuilder-admin.php). Elle permet à un attaquant non authentifié de modifier les requêtes SQL stockées et les informations d'identification de la base de données, compromettant potentiellement l'intégrité des données et la sécurité du site.

WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement

Impact et Scénarios d'Attaque

Un attaquant peut exploiter cette vulnérabilité pour injecter du code SQL malveillant via une requête forgée, à condition de convaincre un administrateur du site de cliquer sur un lien malicieux. La requête SQL modifiée sera ensuite exécutée sur le serveur, permettant à l'attaquant d'accéder, de modifier ou de supprimer des données sensibles stockées dans la base de données WordPress. Cela peut inclure des informations utilisateur, des données de configuration, et potentiellement des données critiques pour le fonctionnement du plugin. L'impact peut s'étendre à l'ensemble du site WordPress si l'attaquant parvient à compromettre la base de données principale. Cette vulnérabilité est similaire à d'autres failles d'injection SQL qui ont permis des violations de données à grande échelle.

Contexte d'Exploitation

Cette vulnérabilité a été publiée le 14 janvier 2026. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature de la vulnérabilité (injection SQL) et de la disponibilité potentielle de preuves de concept publiques. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.

Qui Est à Risquetraduction en cours…

WordPress websites utilizing the DASHBOARD BUILDER plugin, particularly those with shared hosting environments, are at risk. Sites with weak administrator password policies or those that haven't implemented proper access controls are especially vulnerable. Legacy WordPress installations running older versions of PHP may also be more susceptible due to potential differences in SQL query parsing.

Étapes de Détectiontraduction en cours…

• wordpress / composer / npm:

grep -r "dashboardbuilder-admin.php" /var/www/html/

• wordpress / composer / npm:

wp plugin list | grep DASHBOARD BUILDER

• wordpress / composer / npm:

wp plugin update --all

• generic web: Check for unusual database activity in WordPress error logs, specifically related to SQL queries originating from the DASHBOARD BUILDER plugin.

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

EPSS

0.02% (percentile 4%)

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N7.1HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionRequiredSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantdashboard-builder
Fournisseurwordfence
Plage affectéeCorrigé dans
1.0.0 – 1.5.71.5.8

Classification de Faiblesse (CWE)

CWE-352

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour
Sans correctif — 130 jours depuis la divulgation

Mitigation et Contournements

La solution la plus efficace consiste à mettre à jour le plugin DASHBOARD BUILDER vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant, il est possible de mettre en place des mesures d'atténuation temporaires. Il est fortement recommandé de désactiver temporairement le plugin si possible. Si la mise à jour n'est pas immédiatement disponible, examinez attentivement les paramètres du plugin et assurez-vous qu'il n’y a pas de requêtes SQL suspectes. L'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les tentatives d'injection SQL. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour vous assurer qu'ils n'ont pas été compromis.

Comment corriger

Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2025-14615 — SQL Injection in DASHBOARD BUILDER Plugin?

CVE-2025-14615 is a SQL Injection vulnerability affecting the DASHBOARD BUILDER WordPress plugin, allowing attackers to manipulate database queries through forged requests.

Am I affected by CVE-2025-14615 in DASHBOARD BUILDER Plugin?

If you are using the DASHBOARD BUILDER plugin in versions 1.0.0 through 1.5.7, you are potentially affected by this vulnerability.

How do I fix CVE-2025-14615 in DASHBOARD BUILDER Plugin?

Upgrade to the latest version of the DASHBOARD BUILDER plugin as soon as a patch is released. Until then, implement WAF rules and restrict access to the plugin's settings handler.

Is CVE-2025-14615 being actively exploited?

While no active exploitation has been confirmed, the ease of exploiting SQL Injection vulnerabilities suggests a high probability of exploitation.

Where can I find the official DASHBOARD BUILDER advisory for CVE-2025-14615?

Refer to the DASHBOARD BUILDER plugin developer's website or WordPress.org plugin page for the official advisory and patch release.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE