CVE-2026-9065 in Surecartinfo

Zusammenfassung

von VulDB • 20.05.2026

In SureCart-Versionen vor 4.2.1 besteht eine verwundbare authenticated SQL Injection über mehrere Parameter ('model_name', 'model_id', 'integration_id', 'provider') am REST-API-Endpunkt '/surecart/v1/integrations/{id}'.

Die Ursache liegt in einem fehlerhaften Umgehen der Escaping-Logik im Query Builder ('wp-query-builder'). Werte, die an die 'where()'-Methode übergeben werden, werden nur über '$wpdb->prepare()' bereinigt, wenn sie **keinen** Punkt ('.') oder das WordPress-Tabellenpräfix ('wp_') enthalten. Durch das Einfügen eines Punktes an beliebiger Stelle im Payload umgeht ein Angreifer die Escaping-Logik vollständig und injiziert beliebiges SQL in die 'WHERE'-Klausel, was eine vollständige UNION-basierte Extraktion der Datenbank ermöglicht.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Tenable

Reservieren

20.05.2026

Veröffentlichung

20.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364842

CPE

bereit

EPSS

0.00036

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9065
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9065
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9065/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!