無料スキャン
CRITICALCVE-2025-48089CVSS 9.3

WordPress Education WordPress Theme | HiStudy theme < 3.1.0 - SQL Injection vulnerability

翻訳中…

プラットフォーム

wordpress

コンポーネント

histudy

修正版

3.1.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存
あなたの言語に翻訳中…

CVE-2025-48089 describes a SQL Injection vulnerability discovered in the HiStudy WordPress theme developed by Rainbow-Themes. This flaw allows attackers to inject malicious SQL code, potentially compromising sensitive data stored within the WordPress database. The vulnerability impacts versions 0.0.0 through 3.1.0 of the HiStudy theme, and a patch is available in version 3.1.1.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

Successful exploitation of this SQL Injection vulnerability could grant an attacker unauthorized access to the WordPress database. This could lead to the theft of sensitive user data, including usernames, passwords, email addresses, and potentially financial information if the site processes payments. An attacker could also modify or delete data, disrupt site functionality, or even gain complete control of the WordPress installation. The impact is particularly severe given the prevalence of WordPress and the potential for widespread data compromise.

悪用の状況翻訳中…

This vulnerability was publicly disclosed on 2025-11-06. While no active exploitation campaigns have been publicly confirmed, the CRITICAL severity and ease of exploitation make it a high-priority target. The vulnerability is not currently listed on the CISA KEV catalog. Public proof-of-concept exploits are likely to emerge given the vulnerability's nature.

リスク対象者翻訳中…

Websites using the HiStudy WordPress theme, particularly those with sensitive user data or e-commerce functionality, are at significant risk. Shared hosting environments are also at increased risk as vulnerabilities in one site can potentially impact others on the same server.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "histudy" /var/www/html/wp-content/themes/

• wordpress / composer / npm:

wp plugin list | grep histudy

• wordpress / composer / npm:

curl -I https://your-wordpress-site.com/wp-content/themes/histudy/ | grep -i sql

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能yes
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L9.3CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityLowサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
なし — 完全性への影響なし。
Availability
低 — 部分的または断続的なサービス拒否。

影響を受けるソフトウェア

コンポーネントhistudy
ベンダーRainbow-Themes
影響範囲修正版
0.0.0 – 3.1.03.1.1

弱点分類 (CWE)

CWE-89

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策翻訳中…

The primary mitigation for CVE-2025-48089 is to immediately upgrade the HiStudy WordPress theme to version 3.1.1 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider implementing a Web Application Firewall (WAF) with SQL Injection protection rules to filter malicious requests. Additionally, review and harden database user permissions to limit the potential damage from a successful attack. Regularly scan your WordPress installation for vulnerabilities using a reputable security plugin.

修正方法翻訳中…

Actualice el tema Education WordPress | HiStudy a la versión 3.1.1 o posterior para mitigar la vulnerabilidad de inyección SQL.  Verifique las actualizaciones del tema en el panel de administración de WordPress o en la página de descarga del tema en ThemeForest.  Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問翻訳中…

What is CVE-2025-48089 — SQL Injection in HiStudy WordPress Theme?

CVE-2025-48089 is a critical SQL Injection vulnerability affecting the HiStudy WordPress theme, allowing attackers to inject malicious SQL code and potentially access sensitive data.

Am I affected by CVE-2025-48089 in HiStudy WordPress Theme?

You are affected if you are using the HiStudy WordPress theme versions 0.0.0 through 3.1.0. Upgrade to version 3.1.1 to mitigate the risk.

How do I fix CVE-2025-48089 in HiStudy WordPress Theme?

Upgrade the HiStudy WordPress theme to version 3.1.1 or later. Consider implementing a WAF as an interim measure if upgrading is not immediately possible.

Is CVE-2025-48089 being actively exploited?

While no active exploitation campaigns have been publicly confirmed, the CRITICAL severity and ease of exploitation make it a high-priority target.

Where can I find the official HiStudy advisory for CVE-2025-48089?

Refer to the Rainbow-Themes website or WordPress plugin repository for the latest advisory and update information regarding CVE-2025-48089.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索