CVE-2026-15445 in SEO Booster Plugin情報

要約

〜によって VulDB • 2026年07月16日

WordPress用SEO Boosterプラグインには、SQL Injection(時間ベース)の脆弱性が存在します。これは、ユーザー入力のエスケープ処理が不十分であり、既存のSQLクエリに対する適切な準備が行われていないためです。この脆弱性はバージョン7.3.1までの全バージョンに影響し、「orderby」パラメータを介して発生します。これにより、管理者レベル以上のアクセス権を持つ認証済み攻撃者は、追加のSQLクエリを既存のクエリに付加することが可能となり、データベースから機密情報を抽出するために悪用できます。esc_sql()およびsanitize_text_field()が適用されていますが、引用符で囲まれていないORDER BYコンテキストにおいて、これらはSQLキーワード、カンマ、括弧、またはサブクエリの構文を無力化できないため、該当句は完全に攻撃者の制御下に置かれます。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

Wordfence

予約する

2026年07月10日

モデレーション

承諾済み

エントリ

VDB-379461

EPSS

0.00000

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!