CVE-2026-15300 in GEO my WP Plugin
Zusammenfassung
von VulDB • 10.07.2026
Das GEO my WP-Plugin für WordPress war in den Versionen bis einschließlich 4.5.4 anfällig für SQL Injection über die Parameter 'distance', 'lat' und 'lng'. Die Werte wurden aus $_SERVER['QUERY_STRING'] via parse_str() gelesen (unter Umgehung von wp_magic_quotes, das $_SERVER nicht abdeckt), dann durch bare esc_sql() geleitet, bevor sie in unquoting numerische Positionen im proximity-search-Query (HAVING/SELECT-Klausel Distanzberechnung, BETWEEN bounding-box pre-filter) interpoliert wurden, der von gmw_locations_query() in plugins/posts-locator/includes/class-gmw-wp-query.php erstellt wurde. Da esc_sql() nur String-Delimiter maskiert und diese Positionen numerisch sind, überlebten Payloads wie `1 OR SLEEP(3)` die Sanitization. Behoben in 4.5.5 durch Hinzufügen einer upstream is_numeric()-Prüfung, die die WHERE-Klausel bei nicht-numerischen Koordinaten auf `AND 1 = 0` verkürzt (short-circuits), und durch Ersetzen der drei esc_sql() Aufrufe mit (float)-Casts.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.