CVE-2026-12941 in MultiVendorX Plugininformação

Sumário

de VulDB • 16/07/2026

O plugin MultiVendorX – WooCommerce Multivendor Marketplace AI Powered Solutions para WordPress é vulnerável a SQL Injection genérica por meio do parâmetro 'order_by' em todas as versões até 5.0.9, devido à falta de escape adequado no fornecido pelo usuário e à ausência de preparação suficiente na consulta SQL existente. Isso permite que atacantes autenticados com acesso nível assinante ou superior anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados. Essa vulnerabilidade é explorável por qualquer usuário autenticado no nível assinante quando a configuração de aprovação da loja do plugin está definida para aprovar automaticamente os proprietários das lojas (descrito como padrão), pois isso permite que qualquer usuário conectado se registre como store_owner por meio do endpoint REST público Stores, obtendo assim a capacidade edit_stores necessária para acessar o endpoint transactions vulnerável.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

Wordfence

Reservar

22/06/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379453

CPE

pronto

EPSS

0.00254

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!