CVE-2026-9757 in GEO my WP Plugininformation

Résumé

par VulDB • 30/05/2026

Le plugin GEO my WP pour WordPress est vulnérable à une injection SQL via les paramètres 'swlatlng' et 'nelatlng' dans toutes les versions jusqu'à la 4.5.5 incluse. Les paramètres sont lus depuis $_SERVER['QUERY_STRING'] via parse_str() (contournant la protection wp_magic_quotes de WordPress, qui ne couvre que $_POST/$_GET/$_COOKIE/$_REQUEST), puis chacun est divisé sur ',' via explode() et les fragments résultants sont interpolés directement dans une clause SQL BETWEEN dans gmw_get_locations_within_boundaries_sql() sans validation is_numeric(), cast (float), esc_sql(), ou $wpdb->prepare(). Cela permet aux attaquants non authentifiés d'ajouter des requêtes SQL supplémentaires dans des requêtes existantes qui peuvent être utilisées pour extraire des informations sensibles de la base de données. L'exploitation nécessite que le site héberge le shortcode de recherche de résultats de localisation de publications (`[gmw form="results" form_id=N]`) sur une page publique et qu'il ait au moins une publication publiée avec une ligne gmw_location associée.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

27/05/2026

Divulgation

30/05/2026

Modérer

accepté

Entrée

VDB-367428

CPE

prêt

EPSS

0.00087

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9757
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9757
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9757/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!