WordPress Custom API for WP <= 4.2.2 - SQL Injection Vulnerability
अनुवाद हो रहा है…प्लेटफ़ॉर्म
wordpress
घटक
custom-api-for-wp
में ठीक किया गया
4.2.3
CVE-2025-54048 identifies a SQL Injection vulnerability within the Custom API for WP plugin. This flaw allows attackers to inject malicious SQL code, potentially leading to unauthorized data access and manipulation. The vulnerability impacts versions from 0.0.0 up to and including 4.2.2. A patch is available in version 4.2.3.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
Successful exploitation of this SQL Injection vulnerability could grant an attacker complete control over the WordPress database. They could extract sensitive user data, including usernames, passwords, and personal information. Furthermore, an attacker could modify or delete data, disrupt website functionality, or even gain administrative access to the WordPress installation. The potential for data breach and system compromise is significant, particularly if the database contains critical business or customer information. This vulnerability’s impact is amplified if the WordPress site is used for e-commerce or handles sensitive financial data.
शोषण संदर्भअनुवाद हो रहा है…
CVE-2025-54048 was publicly disclosed on August 20, 2025. The vulnerability's severity is high due to the ease of exploitation and the potential impact. No public proof-of-concept (PoC) code has been observed at the time of writing, but the SQL Injection nature of the vulnerability makes it likely that PoCs will emerge. It is not currently listed on the CISA KEV catalog.
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress websites utilizing the Custom API for WP plugin, particularly those handling sensitive user data or financial transactions, are at significant risk. Shared hosting environments where multiple WordPress installations share the same database are also at increased risk, as a compromise of one site could potentially impact others.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r "miniOrange Custom API for WP" /var/www/html/
wp plugin list | grep 'miniOrange Custom API for WP'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mini-orange-custom-api-for-wp/ | grep -i 'SQL Injection'हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
- Availability
- निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 1Kआला
- प्लगइन रेटिंग
- 4.8
- WordPress आवश्यक
- 3.0.1+
- संगत संस्करण तक
- 6.9.4
- PHP आवश्यक
- 5.4+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The primary mitigation for CVE-2025-54048 is to immediately upgrade the Custom API for WP plugin to version 4.2.3 or later. If upgrading is not immediately feasible due to compatibility issues or testing requirements, consider implementing a Web Application Firewall (WAF) rule to filter potentially malicious SQL queries targeting the vulnerable API endpoints. Carefully review and sanitize all user inputs to prevent SQL injection attempts. Monitor WordPress logs for suspicious SQL queries or database activity. After upgrading, confirm the fix by attempting a SQL injection attack on the vulnerable endpoint and verifying that it is blocked.
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice el plugin 'Custom API for WP' a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2025-54048 — SQL Injection in Custom API for WP?
CVE-2025-54048 is a critical SQL Injection vulnerability affecting the Custom API for WP plugin, allowing attackers to inject malicious SQL code and potentially access sensitive data.
Am I affected by CVE-2025-54048 in Custom API for WP?
You are affected if you are using Custom API for WP versions 0.0.0 through 4.2.2. Upgrade to 4.2.3 or later to mitigate the risk.
How do I fix CVE-2025-54048 in Custom API for WP?
Upgrade the Custom API for WP plugin to version 4.2.3 or later. Consider implementing a WAF rule as an interim measure if immediate upgrade is not possible.
Is CVE-2025-54048 being actively exploited?
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation attempts will occur. Monitor your systems closely.
Where can I find the official Custom API for WP advisory for CVE-2025-54048?
Refer to the miniOrange website and WordPress plugin repository for the official advisory and update information regarding CVE-2025-54048.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।