Platform
wordpress
Component
profile-builder-pro
Opgelost in
3.14.0
CVE-2026-27413 beschrijft een Blind SQL Injection kwetsbaarheid in Cozmoslabs Profile Builder Pro. Deze kwetsbaarheid stelt aanvallers in staat om, door middel van speciaal ontworpen queries, gevoelige data uit de database te extraheren. De kwetsbaarheid treft versies van Profile Builder Pro van 0.0.0 tot en met 3.14.0. Een patch is beschikbaar in versie 3.14.0.
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot de database van Profile Builder Pro. Aanvallers kunnen gevoelige informatie zoals gebruikersnamen, wachtwoorden, e-mailadressen en andere persoonlijke gegevens stelen. Afhankelijk van de database structuur en de privileges van de database gebruiker, kan de impact verder reiken tot het manipuleren van data of zelfs het compromitteren van de gehele WordPress installatie. Dit is vergelijkbaar met andere SQL Injection kwetsbaarheden waarbij de database als een primaire bron van gevoelige informatie wordt beschouwd. De Blind SQL Injection techniek vereist geduld en iteratie, maar kan toch leiden tot volledige data extractie.
Deze kwetsbaarheid is openbaar gemaakt op 2026-03-19. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke Proof-of-Concept (POC) exploits bekend op het moment van schrijven. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en wordt beoordeeld als CRITICAL vanwege de potentiële impact.
WordPress websites utilizing Profile Builder Pro, particularly those running versions prior to 3.14.0, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a successful attack on one site could potentially compromise others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/profile-builder-pro/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=profile-builder-pro-settings&action=test_db_connection | grep SQL• wordpress / composer / npm:
wp plugin list --status=active | grep profile-builder-prodisclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Profile Builder Pro naar versie 3.14.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de database privileges voor de Profile Builder Pro gebruiker. Implementeer Web Application Firewall (WAF) regels die SQL Injection pogingen detecteren en blokkeren. Controleer de WordPress plugin directory op updates en beveiligingsadviezen. Na de upgrade, verifieer de fix door een poging tot SQL Injection uit te voeren via bekende kwetsbare endpoints.
Update naar versie 3.14.0, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27413 is a critical SQL Injection vulnerability affecting Profile Builder Pro versions 0.0.0–3.14.0, allowing attackers to extract data via blind SQL injection.
You are affected if you are using Profile Builder Pro versions 0.0.0 through 3.14.0. Upgrade immediately to mitigate the risk.
Upgrade Profile Builder Pro to version 3.14.0 or later. If upgrading is not possible, implement WAF rules and sanitize user inputs.
While no public exploits are currently known, the vulnerability's nature makes exploitation likely. Monitor your systems for suspicious activity.
Refer to the Cozmoslabs website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.