Platform
wordpress
Component
riode-core
Opgelost in
1.6.27
CVE-2025-69338 beschrijft een Blind SQL Injection kwetsbaarheid in het Riode Core WordPress thema. Deze kwetsbaarheid stelt aanvallers in staat om via speciaal ontworpen queries gevoelige data uit de database te extraheren, zelfs zonder directe output van de query. De kwetsbaarheid treft versies van het thema van 0.0.0 tot en met 1.6.26. Een fix is beschikbaar in versie 1.6.27.
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot de database van de WordPress website. Aanvallers kunnen gevoelige informatie stelen, zoals gebruikersnamen, wachtwoorden, klantgegevens en andere kritieke data. Afhankelijk van de database structuur en de privileges van de database gebruiker, kan de impact aanzienlijk zijn. De Blind SQL Injection techniek maakt het mogelijk om data te extraheren door te testen op de aanwezigheid of afwezigheid van bepaalde karakters of data in de database, waardoor de detectie moeilijker wordt. Dit soort kwetsbaarheden kunnen vergelijkbare gevolgen hebben als eerdere SQL Injection aanvallen op WordPress thema's.
De kwetsbaarheid is openbaar gemaakt op 2026-03-05. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke Proof-of-Concept (POC) exploits bekend. De ernst van de kwetsbaarheid is beoordeeld als CRITICAL (CVSS score 9.3).
Websites using the Riode Core plugin, particularly those with sensitive user data or e-commerce functionality, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/riode-core/• generic web:
curl -I https://example.com/wp-content/plugins/riode-core/ | grep SQL• wordpress / composer / npm:
wp plugin list --status=inactive | grep riode-coredisclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van het Riode Core WordPress thema naar versie 1.6.27 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van database privileges voor de gebruiker die door het thema wordt gebruikt. Implementeer een Web Application Firewall (WAF) met regels die SQL Injection pogingen detecteren en blokkeren. Controleer de WordPress website op verdachte database queries in de server logs. Na de upgrade, controleer de database logs op ongebruikelijke activiteit om te bevestigen dat de kwetsbaarheid is verholpen.
Update naar versie 1.6.27, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-69338 is a critical SQL Injection vulnerability affecting the Riode Core WordPress plugin, allowing attackers to potentially extract data through blind SQL injection.
If you are using Riode Core versions 0.0.0 through 1.6.26 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the Riode Core plugin to version 1.6.27 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
While no active exploitation has been confirmed, the severity of the vulnerability warrants close monitoring and proactive mitigation.
Refer to the official don-themes website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-69338.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.