Plataforma
wordpress
Componente
wp_attractivedonationssystem
Corrigido em
1.25.1
Uma vulnerabilidade de SQL Injection cega foi descoberta no plugin WP Attractive Donations System - Easy Stripe & Paypal donations. Essa falha permite que atacantes injetem comandos SQL maliciosos, potencialmente acessando e manipulando dados do banco de dados. As versões afetadas são de 0.0.0 até 1.25. A correção oficial está pendente, exigindo medidas de mitigação imediatas.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute consultas SQL arbitrárias no banco de dados do WordPress. Isso pode levar à exfiltração de dados sensíveis, como informações de usuários, detalhes de doações e credenciais administrativas. Em cenários mais graves, um atacante pode até mesmo modificar ou excluir dados, comprometendo a integridade do site. A injeção SQL cega significa que o atacante não recebe feedback direto das consultas, tornando a exploração mais complexa, mas não impossível, exigindo técnicas de inferência para extrair informações.
A vulnerabilidade foi divulgada em 05 de março de 2026. Não há informações sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento. A ausência de um Proof of Concept (PoC) público não diminui a gravidade, pois a complexidade da injeção SQL cega pode exigir conhecimento especializado para ser explorada.
WordPress sites utilizing the WP Attractive Donations System plugin, particularly those running older, unpatched versions (0.0.0–1.25), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp_attractive_donations_system" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep wp_attractive_donations_system• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-attractive-donations-system/ | grep -i 'SQL Injection'disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
Como a correção oficial ainda não foi lançada, a mitigação imediata é crucial. Primeiramente, considere desativar o plugin WP Attractive Donations System até que uma versão corrigida esteja disponível. Se a desativação não for possível, implemente regras de firewall de aplicação web (WAF) para bloquear consultas SQL suspeitas. Além disso, revise e reforce as permissões do banco de dados, limitando o acesso do plugin apenas aos recursos necessários. Monitore os logs do WordPress e do banco de dados em busca de atividades anormais. Após a disponibilidade da atualização, aplique-a imediatamente e verifique se a vulnerabilidade foi corrigida executando testes de penetração.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28115 is a critical SQL Injection vulnerability affecting the WP Attractive Donations System WordPress plugin, allowing attackers to potentially extract sensitive data and compromise the site.
If you are using WP Attractive Donations System versions 0.0.0 through 1.25, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade to the latest version of the WP Attractive Donations System plugin as soon as a patch is released. Until then, disable the plugin or implement temporary workarounds like input validation.
While no active exploitation has been confirmed, the ease of exploitation associated with SQL injection suggests it is likely to be targeted soon.
Please refer to the vendor's website or WordPress plugin repository for the official advisory and patch release information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.