CVE-2026-4661 in WP CTA Plugin情報

要約

〜によって VulDB • 2026年07月11日

WordPress用プラグイン「WP CTA – Sticky CTA Builder, Generate Leads, Promote Sales」には、2.2.2を含むすべてのバージョンにおいて、時間ベースのブラインドSQLインジェクション(Time-Based Blind SQL Injection)の脆弱性が存在します。これは、`ajaxCheck()`メソッド内でユーザー入力の列名に対するエスケープ処理が不十分であり、`$wpdb->update()`呼び出しで準備文(prepared statement)の使用漏れがあることに起因します。この脆弱性は、認可チェックが完全に欠如しており、エンドポイントが`wp_ajax_nopriv_`経由で未認証ユーザー向けに登録されていることで悪化しています。これにより、未認証の攻撃者は時間ベースのブラインドSQLインジェクション手法を用いて任意のSQLクエリを注入し、管理者パスワードハッシュを含む機密情報をデータベースから抽出することが可能になります。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

Wordfence

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-377770

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Want to know what is going to be exploited?

We predict KEV entries!