CVE-2026-12941 in MultiVendorX Pluginالمعلومات

الملخص

بحسب VulDB • 16/07/2026

يحتوي مكون WordPress "MultiVendorX – WooCommerce Multivendor Marketplace AI Powered Solutions" على ثغرة حقن SQL عامة (SQL Injection) عبر المعلمة 'order_by' في جميع الإصدارات حتى 5.0.9 وشاملة لها، وذلك بسبب عدم كفاية عملية الهروب من الأحرف الخاصة (escaping) للمدخلات التي يزودها المستخدم ونقص التحضير الكافي لاستعلام SQL الموجود. وهذا يمكّن المهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المشترك أو أعلى، من إضافة استعلامات SQL إضافية إلى الاستعلامات الموجودة مسبقًا، والتي يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات. ويمكن استغلال هذه الثغرة بواسطة أي مستخدم مصادق عليه ومستواه مشترك عندما تكون إعدادات موافقة المتجر في المكون مُهيأة للموافقة التلقائية على مالكي المتاجر (كما هو الحال افتراضيًا)، إذ يسمح ذلك لأي مسجل دخول بالتسجيل الذاتي كمالك متجر عبر نقطة نهاية REST العامة للمتاجر، وبالتالي الحصول على صلاحية "edit_stores" اللازمة للوصول إلى نقطة النهاية الخاصة بالمعاملات المعرضة للثغرة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

Wordfence

حجز

22/06/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379453

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!