WordPress Coven Core プラグイン <= 1.3 - SQL Injection 脆弱性

このSQLインジェクション脆弱性は、攻撃者がCoven Coreのデータベースに不正にアクセスすることを可能にします。攻撃者は、データベース内の機密情報（ユーザー名、パスワード、個人情報など）を盗み出す可能性があります。また、データベースの内容を改ざんしたり、削除したりすることも可能です。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。類似のSQLインジェクション攻撃は、Webサイトの乗っ取りやデータの漏洩につながる可能性があります。

WordPress sites utilizing the Coven Core plugin, particularly those with sensitive data stored in the database, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others. Sites using older, unpatched versions of WordPress or with weak security configurations are also at increased risk.

• wordpress / composer / npm:

grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/coven-core/

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/coven-core/ | grep SQL

• wordpress / composer / npm:

wp plugin list | grep coven-core

• wordpress / composer / npm:

wp plugin status coven-core

1. 2026-02-20Disclosure

   disclosure

1. 予約済み2025-12-31
2. 公開日2026-02-20
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への対応として、まずCoven Coreを最新バージョンにアップデートすることを強く推奨します。アップデートが利用できない場合、WordPressのデータベースへのアクセスを制限するWAF（Web Application Firewall）やプロキシサーバーの設定を検討してください。また、データベースのアクセス権限を最小限に抑え、不要なユーザーアカウントを削除することも有効です。SQLインジェクション攻撃のシグネチャをWAFに登録することで、攻撃の早期発見と防御が可能です。