Base de données de vulnérabilitésCVE-2025-8994

CVE-2025-8994:
WordPress Analyse et atténuation des vulnérabilités

Aperçu

The WP Project Manager plugin for WordPress (versions up to 2.6.26) contains a time-based SQL Injection vulnerability (CVE-2025-8994) discovered in November 2025. The vulnerability exists in the 'completedatoperator' parameter due to insufficient escaping of user input and inadequate SQL query preparation. This security flaw affects the Project Management, Team Collaboration, Kanban Board, Gantt Charts, and Task Manager functionalities of the plugin (NVD).

Détails techniques

The vulnerability is classified as a SQL Injection (CWE-89) with a CVSS v3.1 Base Score of 6.5 (MEDIUM). The attack vector requires network access (N) with low attack complexity (L) and low privileges (PR). The scope is unchanged (U) with high confidentiality impact (H) but no impact on integrity (N) or availability (N). The vulnerability allows authenticated attackers with Subscriber-level access or higher to append additional SQL queries to existing ones (NVD, Wordfence).

Impact

The vulnerability enables authenticated attackers to extract sensitive information from the database by injecting malicious SQL queries. This could potentially lead to unauthorized access to private project data, user information, and other confidential content stored within the WP Project Manager plugin's database (NVD).

Atténuation et solutions de contournement

A fix has been released in version 2.6.27 of the WP Project Manager plugin, which includes improved sanitization to prevent SQL Injection. Users are advised to update to this latest version immediately (WordPress Changeset).

Ressources additionnelles

Source: Ce rapport a été généré à l’aide de l’IA

Apparenté WordPress Vulnérabilités:

Identifiant CVE	Sévérité	Score	Technologies	Nom du composant	Exploit CISA KEV	A corrigé	Date de publication
CVE-2025-12482	HIGH	7.5	WordPress	ameliabooking	Non	Oui	Nov 16, 2025
CVE-2025-8994	MEDIUM	6.5	WordPress	wedevs-project-manager	Non	Oui	Nov 15, 2025
CVE-2025-12849	MEDIUM	5.3	WordPress	contest-gallery	Non	Oui	Nov 15, 2025
CVE-2025-12847	MEDIUM	4.3	WordPress	all-in-one-seo-pack	Non	Oui	Nov 15, 2025
CVE-2025-12494	MEDIUM	4.3	WordPress	modula-best-grid-gallery	Non	Oui	Nov 15, 2025

Évaluation gratuite des vulnérabilités

Évaluez votre posture de sécurité dans le cloud

Évaluez vos pratiques de sécurité cloud dans 9 domaines de sécurité pour évaluer votre niveau de risque et identifier les failles dans vos défenses.

Demander une évaluation

Ressources Wiz supplémentaires

PEACH

Un cadre d’isolation des locataires

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

"La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud."

David EstlickRSSI

"Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud."

Adam FletcherChef du service de sécurité

"Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement."

Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités

Demander une démo

CVE-2025-8994: WordPress Analyse et atténuation des vulnérabilités