Plateforme
wordpress
Composant
wp_attractivedonationssystem
Corrigé dans
1.25.1
Une vulnérabilité d'injection SQL (SQL Injection) a été découverte dans le plugin WP Attractive Donations System - Easy Stripe & Paypal donations. Cette faille, due à une neutralisation incorrecte des caractères spéciaux dans les commandes SQL, permet une injection SQL aveugle. Elle affecte les versions du plugin de 0.0.0 à 1.25. La correction est disponible et son application est fortement recommandée.
L'injection SQL aveugle permet à un attaquant d'extraire des informations sensibles de la base de données, telles que les informations des utilisateurs, les données de transaction et les configurations du plugin. L'attaquant peut potentiellement modifier les données, compromettre l'intégrité du site web et même prendre le contrôle du serveur. Bien que l'injection soit aveugle, elle permet une exploration progressive de la base de données, rendant l'exploitation possible même sans affichage direct des résultats. Une exploitation réussie pourrait mener à une violation de données significative et à une perte de confiance des utilisateurs.
Cette vulnérabilité a été publiée le 5 mars 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la gravité CRITICAL de la vulnérabilité indique un risque élevé. Il est probable que des preuves d'exploitation apparaîtront à mesure que la vulnérabilité devient plus largement connue. Il est conseillé de surveiller les forums de sécurité et les flux d'informations sur les menaces pour détecter toute activité suspecte.
WordPress sites utilizing the WP Attractive Donations System plugin, particularly those running older, unpatched versions (0.0.0–1.25), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp_attractive_donations_system" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep wp_attractive_donations_system• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-attractive-donations-system/ | grep -i 'SQL Injection'disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin WP Attractive Donations System - Easy Stripe & Paypal donations vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de renforcer la validation des entrées utilisateur, d'utiliser des requêtes paramétrées ou des procédures stockées pour éviter l'injection SQL, et de limiter les privilèges de l'utilisateur de la base de données utilisé par le plugin. Après la mise à jour, vérifiez l'intégrité du plugin et assurez-vous qu'il n'y a pas de fichiers suspects.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28115 is a critical SQL Injection vulnerability affecting the WP Attractive Donations System WordPress plugin, allowing attackers to potentially extract sensitive data and compromise the site.
If you are using WP Attractive Donations System versions 0.0.0 through 1.25, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade to the latest version of the WP Attractive Donations System plugin as soon as a patch is released. Until then, disable the plugin or implement temporary workarounds like input validation.
While no active exploitation has been confirmed, the ease of exploitation associated with SQL injection suggests it is likely to be targeted soon.
Please refer to the vendor's website or WordPress plugin repository for the official advisory and patch release information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.