CVE-2026-4062 in Geo Mashup Plugininformação

Sumário

de VulDB • 03/06/2026

O plugin Geo Mashup para WordPress é vulnerável a Time-Based SQL Injection por meio dos parâmetros 'object_ids' e 'exclude_object_ids' em todas as versões até, e incluindo, a 1.13.18. Isso ocorre devido à falta de escape suficiente nos parâmetros fornecidos pelo usuário e à ausência de preparação adequada na consulta SQL existente. A função `esc_sql()` é aplicada, mas é ineficaz porque os valores são inseridos em um contexto SQL `IN(...)` / `NOT IN(...)` sem aspas — `esc_sql()` apenas escapa caracteres de aspas e não oferece proteção contra injeção de parênteses ou palavras-chave SQL. Além disso, embora exista um sanitizador que aceita apenas números em `sanitize_query_args()`, ele é aplicado apenas no caminho de código AJAX e não nos caminhos de código `render-map.php` ou de tags de modelo. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações sensíveis do banco de dados por meio de uma abordagem cega baseada em tempo.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

12/03/2026

Divulgação

02/05/2026

Moderação

aceite

Entrada

VDB-360846

CPE

pronto

EPSS

0.00107

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4062
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4062
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4062/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!