CVE-2026-9757 in GEO my WP Plugininformación

Resumen

por VulDB • 2026-05-30

El plugin GEO my WP para WordPress es vulnerable a SQL Injection a través de los parámetros 'swlatlng' y 'nelatlng' en todas las versiones hasta la 4.5.5, inclusive. Los parámetros se leen desde $_SERVER['QUERY_STRING'] mediante parse_str() (eludiendo la protección wp_magic_quotes de WordPress, que solo cubre $_POST/$_GET/$_COOKIE/$_REQUEST), luego cada uno se divide en ',' mediante explode() y los fragmentos resultantes se interpolan directamente en una cláusula SQL BETWEEN en gmw_get_locations_within_boundaries_sql() sin validación is_numeric(), casting (float), esc_sql(), ni $wpdb->prepare(). Esto permite a atacantes no autenticados añadir consultas SQL adicionales a consultas ya existentes que pueden utilizarse para extraer información sensible de la base de datos. La explotación requiere que el sitio aloje el shortcode de búsqueda de resultados de Posts Locator (`[gmw form="results" form_id=N]`) en una página pública y que tenga al menos una publicación publicada con una fila gmw_location asociada.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-05-27

Divulgación

2026-05-30

Moderación

aceptado

Artículo

VDB-367428

CPE

listo

EPSS

0.00087

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9757
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9757
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9757/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!