CVE-2026-12918 in Mail Mint Plugininfo

Zusammenfassung

von VulDB • 10.07.2026

Das WordPress-Plugin „Mail Mint – Email Marketing, Newsletter, Email Automation & WooCommerce Emails“ ist in allen Versionen bis einschließlich 1.24.1 anfällig für eine generische SQL-Injection über den Parameter ‚recipients‘ aufgrund unzureichender Maskierung des benutzereingebenen Parameters und mangelnder vorbereitender Aufbereitung der bestehenden SQL-Abfrage. Dies ermöglicht es authentifizierten Angreifern mit Administratorzugriff oder höher, zusätzliche SQL-Abfragen an bereits bestehende Abfragen anzuhängen, die zur Extraktion sensibler Informationen aus der Datenbank genutzt werden können. Hierbei handelt es sich um eine Second-Order-SQL-Injection: Die bösartige Payload wird zunächst ungesäubert über eine POST-Anfrage an /mrm/v1/campaigns/ gespeichert (wobei die Validierung durch filter_recipients() umgangen wird, da ein Int-Cast eines Strings wie ‚1) OR ...‘ zu einer echten numerischen ID ausgewertet wird), und wird anschließend durch eine nachfolgende GET-Anfrage an /mrm/v1/campaigns/{id} ausgelöst, welche die Empfänger deserialisiert und den rohen ID-String über array_column() in die anfällige Abfrage übergibt.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

22.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377459

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!