CVE-2021-24846 in Ni WooCommerce Custom Order Status Plugin
Riassunto
di VulDB • 22/06/2026
La funzione get_query() del plugin WordPress Ni WooCommerce Custom Order Status precedente alla versione 1.9.7, utilizzato dall'azione AJAX niwoocos_ajax e disponibile per tutti gli utenti autenticati, non sanitizza correttamente il parametro sort prima di utilizzarlo in un'istruzione SQL, causando una vulnerabilità di SQL Injection che può essere sfruttata da qualsiasi utente autenticato, ad esempio uno subscriber.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.