Plataforma
wordpress
Componente
coven-core
Corrigido em
1.3.1
Uma vulnerabilidade de SQL Injection foi descoberta no Coven Core, um tema para WordPress. Essa falha permite a injeção de código SQL malicioso, possibilitando o acesso não autorizado a dados armazenados no banco de dados. As versões afetadas são da 0.0.0 até a 1.3. A correção foi publicada em data desconhecida.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute consultas SQL arbitrárias no banco de dados do WordPress. Isso pode levar à exfiltração de informações confidenciais, como credenciais de usuários, dados de clientes e informações financeiras. Em cenários mais graves, o atacante pode até mesmo modificar ou excluir dados, comprometendo a integridade do site. A injeção SQL cega dificulta a detecção, pois os resultados das consultas não são diretamente visíveis, exigindo técnicas de inferência para extrair informações.
A vulnerabilidade foi publicada em 2026-02-20. Não há informações disponíveis sobre a existência de Proof of Concepts (PoCs) públicos ou campanhas de exploração ativas. A severidade é classificada como CRÍTICA devido ao potencial impacto na confidencialidade, integridade e disponibilidade dos dados.
WordPress sites utilizing the Coven Core plugin, particularly those with sensitive data stored in the database, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others. Sites using older, unpatched versions of WordPress or with weak security configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/coven-core/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/coven-core/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep coven-core• wordpress / composer / npm:
wp plugin status coven-coredisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a atualização para uma versão corrigida do Coven Core, assim que disponível. Enquanto a atualização não for possível, considere implementar medidas de segurança adicionais, como a utilização de um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de injeção SQL. Além disso, revise as configurações do banco de dados para garantir que os privilégios de acesso sejam minimizados e que as consultas SQL sejam devidamente validadas. Monitore os logs do servidor em busca de atividades suspeitas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-69295 is a critical SQL Injection vulnerability affecting the Coven Core WordPress plugin, allowing attackers to potentially extract data from the database.
If you are using Coven Core versions 0.0.0 through 1.3 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade to a patched version of Coven Core as soon as it becomes available. Until then, disable the plugin or implement WAF rules to mitigate the risk.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that attackers will develop exploits. Monitor security advisories for updates.
Refer to the TeconceTheme website and WordPress plugin repository for updates and official advisories regarding CVE-2025-69295.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.