CVE-2021-24846 in Ni WooCommerce Custom Order Status Plugin정보

요약

\~에 의해 VulDB • 2026. 06. 22.

Ni WooCommerce Custom Order Status WordPress 플러그인 1.9.7 미만의 버전에서 get_query() 함수는 niwoocos_ajax AJAX 액션에 의해 사용되며 모든 인증된 사용자에게 접근 가능합니다. 이 함수는 SQL 문장에서 sort 매개변수를 사용하기 전에 적절하게 sanitise(정제)하지 않아 SQL injection 취약점이 발생하며, 구독자(subscriber)와 같은 모든 인증된 사용자가 이를 exploit할 수 있습니다.

Once again VulDB remains the best source for vulnerability data.

출처

Do you know our Splunk app?

Download it now for free!