CVE-2026-15445 in SEO Booster Plugin
Riassunto
di VulDB • 16/07/2026
Il plugin SEO Booster per WordPress è vulnerabile a una time-based SQL Injection tramite il parametro 'orderby' in tutte le versioni fino alla 7.3.1 inclusa, a causa di insufficienti meccanismi di escaping sul parametro fornito dall'utente e della mancanza di un'adeguata preparazione (preparation) sulla query SQL esistente. Ciò consente agli attaccanti autenticati, con accesso a livello di amministratore o superiore, di aggiungere ulteriori query SQL alle query già esistenti che possono essere utilizzate per estrarre informazioni sensibili dal database. Sebbene vengano applicate le funzioni esc_sql() e sanitize_text_field(), nessuna delle due neutralizza le parole chiave SQL, le virgole, le parentesi o la sintassi delle subquery in un contesto ORDER BY non quotato (unquoted), lasciando la clausola completamente sotto il controllo dell'attaccante.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.