Plateforme
wordpress
Composant
woodly-core
Corrigé dans
1.4.1
Une vulnérabilité d'injection SQL (SQL Injection) a été découverte dans Woodly Core, affectant les versions de 0.0.0 à 1.4. Cette faille permet à un attaquant d'exécuter des requêtes SQL arbitraires, conduisant potentiellement à la compromission des données sensibles. La vulnérabilité est de type injection SQL aveugle, ce qui rend son exploitation plus complexe mais pas impossible. Une correction est disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter des requêtes SQL malveillantes dans le système. L'injection SQL aveugle signifie que l'attaquant ne reçoit pas de réponse directe des requêtes, mais peut déduire des informations sur la base de la réponse du serveur (temps de réponse, erreurs, etc.). Cela peut être utilisé pour extraire des données sensibles de la base de données, telles que des informations d'identification d'utilisateurs, des données personnelles ou des informations de configuration. Dans le pire des cas, un attaquant pourrait même modifier ou supprimer des données. Bien que l'exploitation soit aveugle, elle reste une menace sérieuse, car elle peut être utilisée pour contourner les mécanismes d'authentification et d'autorisation.
La vulnérabilité CVE-2025-69310 est une injection SQL aveugle, ce qui rend son exploitation plus complexe que les injections SQL classiques. La publication de la vulnérabilité est prévue pour le 20 février 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au KEV. Des preuves de concept (PoC) pourraient être publiées à l'avenir, augmentant le risque d'exploitation.
WordPress sites utilizing the Woodly Core plugin, particularly those running older versions (0.0.0 - 1.4), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/woodly-core/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woodly-core/ | grep SQL• wordpress / composer / npm:
wp plugin list --status=inactive | grep woodly-coredisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Woodly Core vers la dernière version corrigée, dès que possible. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des mesures de protection temporaires. Il est crucial de valider et d'échapper toutes les entrées utilisateur avant de les utiliser dans des requêtes SQL. L'utilisation de requêtes paramétrées ou de procédures stockées peut également aider à prévenir les injections SQL. Sur un serveur WordPress, assurez-vous que le plugin Woodly Core est désactivé jusqu'à la mise à jour. Vérifiez après la mise à jour que la vulnérabilité est bien corrigée en effectuant des tests de pénétration ciblés.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-69310 est une vulnérabilité d'injection SQL dans Woodly Core, permettant à un attaquant d'exécuter des requêtes SQL arbitraires et potentiellement de compromettre les données.
Vous êtes affecté si vous utilisez Woodly Core dans une version comprise entre 0.0.0 et 1.4. Vérifiez la version installée avec wp plugin version woodly-core.
La solution est de mettre à jour Woodly Core vers la dernière version corrigée disponible. Si la mise à jour n'est pas possible immédiatement, appliquez des mesures de protection temporaires.
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2025-69310, mais le risque augmente avec la publication de preuves de concept.
Consultez le site web de TeconceTheme ou le dépôt GitHub de Woodly Core pour obtenir l'avis officiel concernant CVE-2025-69310.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.