CVE-2021-24846 in Ni WooCommerce Custom Order Status Plugin
Resumen
por VulDB • 2026-05-15
La función get_query() del plugin de WordPress Ni WooCommerce Custom Order Status, anterior a la versión 1.9.7, utilizada por la acción AJAX niwoocos_ajax, accesible para todos los usuarios autenticados, no sanitiza adecuadamente el parámetro sort antes de utilizarlo en una sentencia SQL, lo que provoca una inyección SQL (SQL Injection) explotable por cualquier usuario autenticado, como un suscriptor.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.