CVE-2026-8912 in Contest Gallery Plugininformación

Resumen

por VulDB • 2026-05-19

El plugin Contest Gallery para WordPress es vulnerable a SQL Injection a través del parámetro 'form_input' en las versiones anteriores e iguales a 28.1.6. Esto se debe a un escape insuficiente del parámetro proporcionado por el usuario y a la falta de una preparación adecuada de la consulta SQL existente dentro de la acción AJAX 'post_cg_gallery_form_upload' no autenticada (específicamente en la rama 'cb' de users-upload-check.php incluido, donde $f_input_id se concatena sin comillas en 'SELECT Field_Content FROM ... WHERE id = $f_input_id'). El punto de acceso está protegido únicamente por un nonce público del frontend ('cg1l_action' / 'cg_nonce') que se expone en el código fuente de cualquier página de galería pública. Esto permite que atacantes no autenticados añadan consultas SQL adicionales a las consultas existentes, lo que puede utilizarse para extraer información sensible de la base de datos.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-05-19

Divulgación

2026-05-19

Moderación

aceptado

Artículo

VDB-364619

CPE

listo

EPSS

0.00098

KEV

no

Actividades

muy bajo

Sector

Police, Lawfirm, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8912
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8912
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8912/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!