Plataforma
wordpress
Componente
crete-core
Corrigido em
1.4.4
Uma vulnerabilidade de SQL Injection foi descoberta no componente Crete Core do TeconceTheme Crete Core. Essa falha permite a injeção de código SQL cega, possibilitando a um atacante extrair informações sensíveis do banco de dados. As versões afetadas são da 0.0.0 até a 1.4.3. A correção oficial já foi disponibilizada, e a atualização é a medida recomendada.
A vulnerabilidade de SQL Injection em Crete Core permite que um atacante execute consultas SQL maliciosas no banco de dados subjacente. Devido à natureza cega da injeção, o atacante pode precisar de múltiplas tentativas para extrair dados, mas o impacto potencial é significativo. Dados confidenciais, como informações de usuários, credenciais de login e dados de transações, podem ser comprometidos. Um atacante com acesso a esses dados pode utilizá-los para roubo de identidade, fraude financeira ou para obter acesso não autorizado a outros sistemas conectados. A exploração bem-sucedida pode levar a uma violação de dados em larga escala e danos à reputação da organização.
A vulnerabilidade CVE-2025-69305 foi publicada em 2026-02-20. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Não há public proof-of-concept (PoC) amplamente divulgado no momento, mas a natureza crítica da vulnerabilidade e a facilidade de exploração tornam provável que PoCs surjam em breve. É crucial implementar medidas de mitigação o mais rápido possível.
Websites utilizing the Crete Core plugin, particularly those running older versions (0.0.0 – 1.4.3), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/crete-core/• generic web:
curl -I https://example.com/wp-content/plugins/crete-core/some-vulnerable-endpoint?id=1' UNION SELECT 1 -- -n• wordpress / composer / npm:
wp plugin list --status=inactive | grep crete-coredisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para uma versão corrigida do Crete Core. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere as seguintes medidas temporárias: implemente regras de firewall para bloquear tráfego suspeito direcionado ao componente Crete Core. Utilize um Web Application Firewall (WAF) com regras específicas para detectar e bloquear ataques de SQL Injection. Revise e reforce as configurações de segurança do banco de dados, incluindo a aplicação do princípio do menor privilégio. Monitore os logs do servidor web e do banco de dados em busca de atividades suspeitas. Após a atualização, confirme a correção executando testes de penetração ou utilizando ferramentas de varredura de vulnerabilidades.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-69305 is a critical SQL Injection vulnerability affecting versions 0.0.0–1.4.3 of the Crete Core WordPress plugin, allowing attackers to potentially extract sensitive data.
If you are using Crete Core WordPress plugin versions 0.0.0 through 1.4.3, you are potentially affected by this vulnerability. Check your plugin versions immediately.
Upgrade to the latest version of the Crete Core plugin as soon as a patch is released. Until then, implement WAF rules to mitigate the risk.
As of the disclosure date, there is no confirmed active exploitation of CVE-2025-69305, but it is a critical vulnerability and should be addressed promptly.
Refer to the TeconceTheme website or WordPress plugin repository for the official advisory and patch release information regarding CVE-2025-69305.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.