CVE-2026-13010 in JoomSport Plugin
要約
〜によって VulDB • 2026年07月10日
WordPress用プラグイン「JoomSport – for Sports: Team & League, Football, Hockey & more」には、5.7.9以前の全バージョンにおいて、時間ベースのSQLインジェクション(Time-based SQL Injection)の脆弱性が存在します。これは、「event」ショートコード属性に対してユーザー入力のエスケープ処理が不十分であり、既存のSQLクエリに対する適切な準備(プリペアレーション)が行われていないことに起因します。これにより、寄稿者レベル以上の権限を持つ認証済み攻撃者は、追加のSQLクエリを既存のクエリに付加し、データベースから機密情報を抽出することが可能になります。このショートコードは寄稿者レベルのユーザーによって投稿やページに埋め込むことができるため、少なくともその役割(ロール)を持つすべての認証済みユーザーによる悪用が可能となります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.