CRITICAL✓ PATCH🇬🇧 English

CVE-2025-39481

Blind SQL Injection w pluginie WordPress Eventer (imithemes)

CVSS 9.3v3.1pub. 2025-05-16upd. 2026-04-23

Wtyczka Eventer do WordPress zawiera krytyczną podatność typu Blind SQL Injection umożliwiającą nieuwierzytelnionemu atakującemu zdalne zapytania do bazy danych. Ze względu na brak wymaganych uprawnień i sieciowy wektor ataku, zagrożenie jest szczególnie poważne.

Pokaż oryginał (EN)

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in imithemes Eventer eventer allows Blind SQL Injection.This issue affects Eventer: from n/a through < 3.11.4.

🤖 Analiza AI
Jak działa

Podatność wynika z braku właściwego neutralizowania znaków specjalnych w danych wejściowych przekazywanych do zapytań SQL (CWE-89). Atakujący może spreparować złośliwe zapytania HTTP, które zostaną osadzone w poleceniach SQL wykonywanych przez plugin bez odpowiedniego escapowania. Atak realizowany jest metodą Blind SQL Injection, gdzie wyniki zapytań nie są bezpośrednio zwracane, lecz wnioskowane na podstawie zachowania aplikacji — np. różnic w czasie odpowiedzi lub warunkowych zmian treści strony.

Skutki

Atakujący może uzyskać nieautoryzowany odczyt poufnych danych z bazy danych (np. danych użytkowników, haseł, tokenów), co prowadzi do naruszenia poufności danych. Wektor ataku nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

Mitygacja

Należy niezwłocznie zaktualizować plugin Eventer do wersji 3.11.4 lub nowszej. Szczegóły dotyczące patcha dostępne są w bazie Patchstack oraz u producenta pluginu.

Kogo dotyczy

Plugin Eventer autorstwa imithemes dla WordPress w wersjach od n/a do poniżej 3.11.4.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L
  • Imithemes Eventer

    APP
    Imithemes
    ≤ 3.9.6
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-0959HIGH8.8ten sam produkt

The Eventer - WordPress Event & Booking Manager Plugin plugin for WordPress is vulnerable to SQL Injection via...

CVE-2025-22635HIGH7.1ten sam produkt

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in imitheme...

CVE-2024-11135HIGH7.5ten sam produkt

The Eventer plugin for WordPress is vulnerable to SQL Injection via the 'event' parameter in the 'eventer_get_...

CVE-2025-39482MEDIUM4.3ten sam produkt

Missing Authorization vulnerability in imithemes Eventer eventer allows Exploiting Incorrectly Configured Acce...

CVE-2024-11134MEDIUM4.3ten sam produkt

The Eventer plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability chec...

CVE-2025-39481 — Blind SQL Injection w pluginie WordPress Eventer (imithemes) — CRITICAL 9.3 | CVEbaza.pl