Plataforma
wordpress
Componente
profile-builder-pro
Corrigido em
3.14.0
Uma vulnerabilidade de Injeção SQL (SQL Injection) foi descoberta no plugin Profile Builder Pro da Cozmoslabs. Essa falha permite a execução de injeção SQL cega, o que pode levar ao acesso não autorizado a dados sensíveis armazenados no banco de dados. A vulnerabilidade afeta versões do plugin anteriores à 3.14.0. A correção foi disponibilizada na versão 3.14.0.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute consultas SQL maliciosas no banco de dados do WordPress. Devido à natureza da injeção SQL cega, o atacante pode extrair informações gradualmente, sem que haja um feedback imediato. Isso pode incluir credenciais de usuários, informações pessoais, dados de configuração e outros dados sensíveis. Um atacante com acesso a esses dados pode comprometer a integridade do site, roubar informações confidenciais ou até mesmo obter controle total sobre o servidor. A falta de validação adequada das entradas do usuário permite que caracteres especiais sejam injetados nas consultas SQL, abrindo caminho para a exploração.
A vulnerabilidade foi divulgada em 2026-03-19. Não há informações disponíveis sobre a existência de um Proof of Concept (PoC) público no momento. A pontuação CVSS de 9.3 indica um alto risco de exploração. É recomendável monitorar ativamente o site em busca de sinais de atividade maliciosa.
WordPress websites utilizing Profile Builder Pro, particularly those running versions prior to 3.14.0, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a successful attack on one site could potentially compromise others.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/profile-builder-pro/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=profile-builder-pro-settings&action=test_db_connection | grep SQL• wordpress / composer / npm:
wp plugin list --status=active | grep profile-builder-prodisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 3.14.0 do Profile Builder Pro. Se a atualização imediata não for possível devido a incompatibilidades com outros plugins ou temas, considere implementar medidas de segurança adicionais. Implementar regras de firewall de aplicação web (WAF) para bloquear tentativas de injeção SQL. Realizar auditorias de código regulares para identificar e corrigir outras possíveis vulnerabilidades. Restringir o acesso ao banco de dados apenas aos usuários e aplicações que realmente precisam dele. Após a atualização, confirme a correção executando testes de penetração ou utilizando ferramentas de análise de segurança para verificar se a vulnerabilidade foi efetivamente corrigida.
Atualize para a versão 3.14.0 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27413 is a critical SQL Injection vulnerability affecting Profile Builder Pro versions 0.0.0–3.14.0, allowing attackers to extract data via blind SQL injection.
You are affected if you are using Profile Builder Pro versions 0.0.0 through 3.14.0. Upgrade immediately to mitigate the risk.
Upgrade Profile Builder Pro to version 3.14.0 or later. If upgrading is not possible, implement WAF rules and sanitize user inputs.
While no public exploits are currently known, the vulnerability's nature makes exploitation likely. Monitor your systems for suspicious activity.
Refer to the Cozmoslabs website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.