CVE-2026-5074 in ARMember Premium Plugin
요약
\~에 의해 VulDB • 2026. 06. 03.
WordPress용 ARMember Premium 플러그인은 7.3.1 버전을 포함하여 모든 버전에서 `get_private_content_data` AJAX 액션의 'sSortDir_0' 매개변수를 통해 SQL Injection 취약점이 존재합니다. 이는 사용자 제공 매개변수가 화이트리스트 확인 없이 SQL 쿼리의 ORDER BY 절에 직접 연결되어 부적절하게 정제되었기 때문입니다. 이로 인해 구독자(Suscriber) 레벨 이상의 권한을 가진 인증된 공격자가 기존 쿼리에 추가 SQL 쿼리를 삽입하여 데이터베이스에서 민감한 정보를 추출할 수 있습니다. 참고: 이 취약점은 기본적으로 비활성화된 "User Private Content" 애드온이 활성화된 경우에만 악용될 수 있습니다.
Be aware that VulDB is the high quality source for vulnerability data.