WordPress Profile Builder Pro プラグイン < 3.14.0 - SQL Injection 脆弱性

このSQLインジェクション脆弱性は、攻撃者がデータベース内の機密データにアクセスすることを可能にします。例えば、ユーザー名、パスワード、個人情報、クレジットカード情報などが盗まれる可能性があります。攻撃者は、データベースの構造を操作したり、データベースサーバー上で任意のコードを実行したりすることも可能かもしれません。この脆弱性の悪用により、ウェブサイトの完全な制御を奪われるリスクも存在します。類似のSQLインジェクション攻撃は、過去に多くのウェブアプリケーションで確認されており、深刻な被害をもたらしています。

WordPress websites utilizing Profile Builder Pro, particularly those running versions prior to 3.14.0, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a successful attack on one site could potentially compromise others.

• wordpress / composer / npm:

grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/profile-builder-pro/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=profile-builder-pro-settings&action=test_db_connection | grep SQL

• wordpress / composer / npm:

wp plugin list --status=active | grep profile-builder-pro

1. 2026-03-19Disclosure

   disclosure

1. 予約済み2026-02-19
2. 公開日2026-03-19
3. 更新日2026-04-28
4. EPSS 更新日2026-03-26

この脆弱性への最も効果的な対策は、Cozmoslabs Profile Builder Proをバージョン3.14.0にアップデートすることです。アップデートがすぐに利用できない場合は、ウェブアプリケーションファイアウォール（WAF）を使用して、SQLインジェクション攻撃をブロックすることを検討してください。また、入力検証を強化し、データベースへのクエリをエスケープすることで、攻撃のリスクを軽減できます。データベースのアクセス権限を最小限に抑え、不要なユーザーアカウントを削除することも重要です。アップデート後、データベースの整合性を確認し、不正な変更がないか確認してください。