Plataforma
wordpress
Componente
dashboard-builder
Corrigido em
1.5.8
Uma vulnerabilidade de SQL Injection foi descoberta no plugin DASHBOARD BUILDER – WordPress plugin for Charts and Graphs. Essa falha, presente em versões até 1.5.7, ocorre devido à ausência de validação nonce no manipulador de configurações em dashboardbuilder-admin.php. A exploração bem-sucedida pode permitir que um atacante modifique consultas SQL e credenciais de banco de dados, comprometendo a integridade dos dados e a segurança do sistema.
A vulnerabilidade de SQL Injection no DASHBOARD BUILDER permite que um atacante malicioso execute comandos SQL arbitrários no banco de dados do WordPress. Isso pode levar ao acesso não autorizado a informações sensíveis, como credenciais de usuários, dados de clientes e informações financeiras. Além disso, um atacante pode usar essa vulnerabilidade para modificar ou excluir dados, interrompendo o funcionamento do site e causando danos significativos à reputação da organização. A exploração é facilitada pela ausência de validação nonce, o que permite que um atacante utilize ataques CSRF para forçar um administrador a executar ações maliciosas sem o seu conhecimento.
A vulnerabilidade foi divulgada em 2026-01-14. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV. A ausência de validação nonce é um padrão comum em vulnerabilidades de CSRF e SQL Injection, e a exploração pode ser relativamente simples para um atacante com conhecimento técnico.
WordPress websites utilizing the DASHBOARD BUILDER plugin, particularly those with shared hosting environments, are at risk. Sites with weak administrator password policies or those that haven't implemented proper access controls are especially vulnerable. Legacy WordPress installations running older versions of PHP may also be more susceptible due to potential differences in SQL query parsing.
• wordpress / composer / npm:
grep -r "dashboardbuilder-admin.php" /var/www/html/• wordpress / composer / npm:
wp plugin list | grep DASHBOARD BUILDER• wordpress / composer / npm:
wp plugin update --all• generic web: Check for unusual database activity in WordPress error logs, specifically related to SQL queries originating from the DASHBOARD BUILDER plugin.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-14615 é atualizar o plugin DASHBOARD BUILDER para a versão corrigida, assim que estiver disponível. Enquanto a atualização não é possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao painel de administração e monitorar o tráfego de rede em busca de atividades suspeitas. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear ataques CSRF também pode ajudar a mitigar o risco. Verifique se o plugin está utilizando as últimas práticas de segurança e se as permissões do banco de dados estão configuradas corretamente.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14615 is a SQL Injection vulnerability affecting the DASHBOARD BUILDER WordPress plugin, allowing attackers to manipulate database queries through forged requests.
If you are using the DASHBOARD BUILDER plugin in versions 1.0.0 through 1.5.7, you are potentially affected by this vulnerability.
Upgrade to the latest version of the DASHBOARD BUILDER plugin as soon as a patch is released. Until then, implement WAF rules and restrict access to the plugin's settings handler.
While no active exploitation has been confirmed, the ease of exploiting SQL Injection vulnerabilities suggests a high probability of exploitation.
Refer to the DASHBOARD BUILDER plugin developer's website or WordPress.org plugin page for the official advisory and patch release.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.