CVE-2026-12941 in MultiVendorX Plugin
الملخص
بحسب VulDB • 16/07/2026
يحتوي مكون WordPress "MultiVendorX – WooCommerce Multivendor Marketplace AI Powered Solutions" على ثغرة حقن SQL عامة (SQL Injection) عبر المعلمة 'order_by' في جميع الإصدارات حتى 5.0.9 وشاملة لها، وذلك بسبب عدم كفاية عملية الهروب من الأحرف الخاصة (escaping) للمدخلات التي يزودها المستخدم ونقص التحضير الكافي لاستعلام SQL الموجود. وهذا يمكّن المهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المشترك أو أعلى، من إضافة استعلامات SQL إضافية إلى الاستعلامات الموجودة مسبقًا، والتي يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات. ويمكن استغلال هذه الثغرة بواسطة أي مستخدم مصادق عليه ومستواه مشترك عندما تكون إعدادات موافقة المتجر في المكون مُهيأة للموافقة التلقائية على مالكي المتاجر (كما هو الحال افتراضيًا)، إذ يسمح ذلك لأي مسجل دخول بالتسجيل الذاتي كمالك متجر عبر نقطة نهاية REST العامة للمتاجر، وبالتالي الحصول على صلاحية "edit_stores" اللازمة للوصول إلى نقطة النهاية الخاصة بالمعاملات المعرضة للثغرة.
If you want to get best quality of vulnerability data, you may have to visit VulDB.