CVE-2026-7619: SQL Injection in Charitable WordPress Plugin
Platform
wordpress
Component
charitable
Opgelost in
1.8.10.5
CVE-2026-7619 beschrijft een SQL Injection kwetsbaarheid in de Charitable WordPress plugin, een plugin voor WordPress die donaties en terugkerende donaties beheert. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om SQL-queries te injecteren en potentieel gevoelige data te extraheren. De kwetsbaarheid treedt op in versies van 1.0.0 tot en met 1.8.10.4. Een patch is beschikbaar in versie 1.8.10.5.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot de database van de WordPress website. Aanvallers kunnen gevoelige informatie zoals donatiegegevens, gebruikersnamen, wachtwoorden (indien opgeslagen in de database) en andere persoonlijke gegevens extraheren. Daarnaast kan de aanvaller mogelijk de database manipuleren, waardoor de functionaliteit van de website wordt aangetast of zelfs de website wordt overgenomen. De impact is vergelijkbaar met andere SQL Injection kwetsbaarheden, waarbij de aanvaller de database als een bron van informatie en een vector voor verdere aanvallen kan gebruiken. De mogelijkheid tot laterale beweging is afhankelijk van de configuratie van de database en de privileges van de gebruiker die de SQL Injection uitvoert.
Uitbuitingscontext
Op dit moment is er geen publieke informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid uitbuiten. De kwetsbaarheid is gepubliceerd op 2026-05-13. De CVSS score van 6.5 (MEDIUM) duidt op een gematigd risico. Er zijn geen bekende exploitatiekits die deze kwetsbaarheid specifiek targetten, maar SQL Injection kwetsbaarheden zijn over het algemeen een aantrekkelijk doelwit voor aanvallers. De NVD en CISA hebben nog geen specifieke waarschuwingen uitgebracht voor deze CVE.
Dreigingsinformatie
Exploit Status
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Geen — geen integriteitsimpact.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Reserved
- Gepubliceerd
Mitigatie en Workarounds
De primaire mitigatie is het upgraden van de Charitable WordPress plugin naar versie 1.8.10.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met regels die SQL Injection pogingen detecteren en blokkeren. Zorg ervoor dat alle gebruikersinvoer, met name de 's' parameter, grondig wordt gevalideerd en gesaneerd voordat deze in SQL-queries wordt gebruikt. Het beperken van de privileges van de databasegebruiker die door de plugin wordt gebruikt, kan de impact van een succesvolle exploitatie verminderen. Na de upgrade, controleer de WordPress logs op verdachte activiteiten en verifieer dat de kwetsbaarheid is verholpen door een test met een veilige SQL query.
Hoe te verhelpen
Update naar versie 1.8.10.5, of een nieuwere gepatchte versie
Veelgestelde vragen
Wat is CVE-2026-7619 — SQL Injection in Charitable WordPress Plugin?
CVE-2026-7619 is een SQL Injection kwetsbaarheid in de Charitable WordPress plugin, waardoor geauthenticeerde aanvallers gevoelige data uit de database kunnen extraheren. De kwetsbaarheid treedt op in versies 1.0.0–1.8.10.4.
Am I affected by CVE-2026-7619 in Charitable WordPress Plugin?
U bent mogelijk getroffen als uw website de Charitable WordPress plugin gebruikt in versie 1.0.0 tot en met 1.8.10.4. Controleer de plugin versie en upgrade indien nodig.
How do I fix CVE-2026-7619 in Charitable WordPress Plugin?
Upgrade de Charitable WordPress plugin naar versie 1.8.10.5 of hoger. Implementeer een WAF of beperk database privileges als een tijdelijke oplossing.
Is CVE-2026-7619 being actively exploited?
Op dit moment is er geen publieke informatie over actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar SQL Injection is een veelvoorkomend doelwit.
Where can I find the official WordPress advisory for CVE-2026-7619?
Raadpleeg de WordPress plugin directory voor de laatste updates en de officiële advisory: [https://wordpress.org/plugins/charitable/](https://wordpress.org/plugins/charitable/)
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Scan nu uw WordPress project — geen account
Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.
Sleep uw afhankelijkheidsbestand hierheen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...