| Identifiant CVE | CVE-2025-2511 |
|---|---|
| Type | Injection SQL (SQLi) |
| Composant affecté | Plugin WordPress AHAthat |
| Vecteur CVSS | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
| Score CVSS | 4.9 — Medium |
| Découverte par | Seckhmet |
Une vulnérabilité d'Injection SQL a été identifiée dans le plugin WordPress AHAthat. Cette faille permet à un attaquant disposant de privilèges administrateur (PR:H) de manipuler les requêtes SQL et d'exfiltrer des données sensibles depuis la base de données WordPress.
Bien que l'exploitation nécessite des droits élevés, l'impact sur la confidentialité est critique (C:H), pouvant mener à la lecture de données utilisateurs, de credentials ou d'informations sensibles stockées en base.
Mettre à jour le plugin AHAthat vers la version corrigée. Appliquer le principe du moindre privilège sur les comptes administrateurs WordPress. Utiliser des requêtes préparées (prepared statements) pour toutes les interactions avec la base de données.