WordPress Cost Calculator Builder plugin <= 3.2.65 - SQL Injection Vulnerability
अनुवाद हो रहा है…प्लेटफ़ॉर्म
wordpress
घटक
cost-calculator-builder
में ठीक किया गया
3.2.66
CVE-2025-39587 describes a SQL Injection vulnerability discovered in Stylemix Cost Calculator Builder. This flaw allows attackers to inject malicious SQL code, potentially gaining unauthorized access to sensitive data and compromising the WordPress site. The vulnerability affects versions from 0.0.0 up to and including 3.2.65, and a patch is available in version 3.2.66.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
Successful exploitation of this SQL Injection vulnerability could allow an attacker to bypass authentication, read sensitive data from the database (such as user credentials, financial information, or configuration details), modify data, or even execute arbitrary commands on the server. The blast radius extends to any data stored within the Cost Calculator Builder's database, potentially impacting the entire WordPress site. While no specific real-world exploitation has been publicly reported, SQL Injection vulnerabilities are consistently among the most exploited web application flaws, and this one’s critical severity underscores the potential for significant damage.
शोषण संदर्भअनुवाद हो रहा है…
CVE-2025-39587 was publicly disclosed on 2025-04-17. Its CRITICAL CVSS score indicates a high probability of exploitation. No public proof-of-concept exploits are currently available, but the vulnerability’s nature and severity make it a likely target for attackers. It is not currently listed on the CISA KEV catalog.
कौन जोखिम में हैअनुवाद हो रहा है…
Websites using Cost Calculator Builder, particularly those with sensitive data stored in the database or those running older, unpatched versions. Shared hosting environments are at increased risk due to the potential for cross-site contamination.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/cost-calculator-builder/• generic web:
curl -I 'https://your-website.com/cost-calculator-builder/?param='; # Check for SQL injection indicators in response headersहमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.23% (46% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
- Availability
- निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 30Kलोकप्रिय
- प्लगइन रेटिंग
- 4.5
- WordPress आवश्यक
- 6.2+
- संगत संस्करण तक
- 7.0
- PHP आवश्यक
- 8.3+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The primary mitigation is to immediately upgrade Cost Calculator Builder to version 3.2.66 or later. If upgrading is not immediately feasible, consider implementing temporary workarounds such as input validation and sanitization on all user-supplied data used in SQL queries. Web Application Firewalls (WAFs) configured to detect and block SQL Injection attempts can also provide a layer of protection. Review Cost Calculator Builder’s configuration for any insecure database connection settings. After upgrading, confirm the vulnerability is resolved by attempting a SQL Injection attack via a vulnerable parameter and verifying that it is blocked.
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice el plugin Cost Calculator Builder a una versión corregida. Consulte las notas de la versión del plugin para obtener instrucciones específicas sobre cómo aplicar la actualización y mitigar la vulnerabilidad de inyección SQL.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2025-39587 — SQL Injection in Cost Calculator Builder?
CVE-2025-39587 is a critical SQL Injection vulnerability in Stylemix Cost Calculator Builder allowing attackers to inject malicious SQL code and potentially access sensitive data.
Am I affected by CVE-2025-39587 in Cost Calculator Builder?
You are affected if you are using Cost Calculator Builder versions 0.0.0 through 3.2.65. Upgrade to 3.2.66 to mitigate the risk.
How do I fix CVE-2025-39587 in Cost Calculator Builder?
Upgrade Cost Calculator Builder to version 3.2.66 or later. Implement input validation and WAF rules as temporary workarounds if immediate upgrade is not possible.
Is CVE-2025-39587 being actively exploited?
While no active exploitation has been publicly confirmed, the vulnerability’s severity suggests a high likelihood of future attacks.
Where can I find the official Stylemix advisory for CVE-2025-39587?
Refer to the Stylemix Cost Calculator Builder website and WordPress plugin repository for the latest advisory and update information.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।