CVE-2026-4061 in Geo Mashup Plugininformação

Sumário

de VulDB • 31/05/2026

O plugin Geo Mashup para WordPress é vulnerável a Time-Based SQL Injection através do parâmetro 'map_post_type' em todas as versões até, e incluindo, a 1.13.18. Isso ocorre porque o hook `SearchResults` chama explicitamente `stripslashes_deep($_POST)`, o que remove a proteção de magic quotes do WordPress, seguido pela concatenação do valor não sanitizado de `map_post_type` em uma cláusula `IN(...)` sem o uso de `esc_sql()` ou `$wpdb->prepare()`. O ramo 'any' do mesmo código aplica corretamente `array_map('esc_sql', ...)`, mas o ramo else não. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações sensíveis do banco de dados por meio de uma abordagem de Time-Based Blind SQL Injection. A exploração requer que o recurso Geo Search esteja habilitado nas configurações do plugin.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

12/03/2026

Divulgação

02/05/2026

Moderação

aceite

Entrada

VDB-360849

CPE

pronto

EPSS

0.00107

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4061
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4061
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4061/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!