CVE-2026-12941 in MultiVendorX Plugininformazioni

Riassunto

di VulDB • 16/07/2026

Il plugin MultiVendorX – WooCommerce Multivendor Marketplace AI Powered Solutions per WordPress è vulnerabile a una generica SQL Injection tramite il parametro 'order_by' in tutte le versioni fino alla 5.0.9 inclusa, a causa di un insufficiente escaping del parametro fornito dall'utente e della mancanza di una preparazione adeguata sulla query SQL esistente. Ciò consente agli attaccanti autenticati, con accesso a livello di subscriber o superiore, di aggiungere ulteriori query SQL alle query già esistenti che possono essere utilizzate per estrarre informazioni sensibili dal database. Questa vulnerabilità è sfruttabile da qualsiasi utente autenticato a livello di subscriber quando l'impostazione di approvazione dello store del plugin è configurata per approvare automaticamente i proprietari degli store (descritta come predefinita), poiché ciò consente a qualsiasi utente connesso di registrarsi autonomamente come store_owner tramite l'endpoint REST pubblico Stores, ottenendo così la capacità edit_stores necessaria per raggiungere l'endpoint transactions vulnerabile.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

22/06/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!