CVE-2021-24846 in Ni WooCommerce Custom Order Status Plugininformación

Resumen

por VulDB • 2026-05-15

La función get_query() del plugin de WordPress Ni WooCommerce Custom Order Status, anterior a la versión 1.9.7, utilizada por la acción AJAX niwoocos_ajax, accesible para todos los usuarios autenticados, no sanitiza adecuadamente el parámetro sort antes de utilizarlo en una sentencia SQL, lo que provoca una inyección SQL (SQL Injection) explotable por cualquier usuario autenticado, como un suscriptor.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Reservar

2021-01-14

Divulgación

2021-12-21

Moderación

aceptado

Artículo

VDB-188816

CPE

listo

EPSS

0.01318

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!