Platform
wordpress
Component
crete-core
Opgelost in
1.4.4
CVE-2025-69305 beschrijft een Blind SQL Injection kwetsbaarheid in Crete Core, een WordPress plugin. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om, via zorgvuldig geconstrueerde queries, data uit de database te extraheren zonder directe output. De kwetsbaarheid treft versies van Crete Core van 0.0.0 tot en met 1.4.3. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige data die in de database van de WordPress website is opgeslagen. Dit omvat mogelijk gebruikersnamen, wachtwoorden, persoonlijke informatie en andere kritieke gegevens. De aanvaller kan de data gebruiken voor identiteitsdiefstal, fraude of verdere aanvallen op het systeem. Omdat het om een Blind SQL Injection gaat, is de exploitatie complexer, maar de impact kan aanzienlijk zijn. De kwetsbaarheid kan ook worden gebruikt om de database te manipuleren, waardoor de integriteit van de website in gevaar komt.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-02-20. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild. De CVSS score is 9.3 (CRITICAL), wat duidt op een hoog risico. Er zijn geen bekende KEV vermeldingen op dit moment. Het is belangrijk om de plugin zo snel mogelijk te patchen om verdere exploitatie te voorkomen.
Websites utilizing the Crete Core plugin, particularly those running older versions (0.0.0 – 1.4.3), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/crete-core/• generic web:
curl -I https://example.com/wp-content/plugins/crete-core/some-vulnerable-endpoint?id=1' UNION SELECT 1 -- -n• wordpress / composer / npm:
wp plugin list --status=inactive | grep crete-coredisclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Crete Core naar een beveiligde versie zodra deze beschikbaar is. Indien een upgrade momenteel niet mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om SQL Injection pogingen te detecteren en te blokkeren. Configureer de WAF om verdachte SQL queries te filteren. Daarnaast kan het beperken van de rechten van de databasegebruiker die door de plugin wordt gebruikt, de impact van een succesvolle exploitatie verminderen. Controleer de plugin configuratie op onnodige privileges. Na de upgrade, verifieer de beveiliging door te controleren of de kwetsbaarheid niet langer aanwezig is door middel van geautomatiseerde scans of handmatige tests.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-69305 is a critical SQL Injection vulnerability affecting versions 0.0.0–1.4.3 of the Crete Core WordPress plugin, allowing attackers to potentially extract sensitive data.
If you are using Crete Core WordPress plugin versions 0.0.0 through 1.4.3, you are potentially affected by this vulnerability. Check your plugin versions immediately.
Upgrade to the latest version of the Crete Core plugin as soon as a patch is released. Until then, implement WAF rules to mitigate the risk.
As of the disclosure date, there is no confirmed active exploitation of CVE-2025-69305, but it is a critical vulnerability and should be addressed promptly.
Refer to the TeconceTheme website or WordPress plugin repository for the official advisory and patch release information regarding CVE-2025-69305.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.