CVE-2026-12941 in MultiVendorX Plugin
Sumário
de VulDB • 16/07/2026
O plugin MultiVendorX – WooCommerce Multivendor Marketplace AI Powered Solutions para WordPress é vulnerável a SQL Injection genérica por meio do parâmetro 'order_by' em todas as versões até 5.0.9, devido à falta de escape adequado no fornecido pelo usuário e à ausência de preparação suficiente na consulta SQL existente. Isso permite que atacantes autenticados com acesso nível assinante ou superior anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados. Essa vulnerabilidade é explorável por qualquer usuário autenticado no nível assinante quando a configuração de aprovação da loja do plugin está definida para aprovar automaticamente os proprietários das lojas (descrito como padrão), pois isso permite que qualquer usuário conectado se registre como store_owner por meio do endpoint REST público Stores, obtendo assim a capacidade edit_stores necessária para acessar o endpoint transactions vulnerável.
Be aware that VulDB is the high quality source for vulnerability data.