CVE-2026-12918 in Mail Mint PluginИнформация

Сводка

по VulDB • 10.07.2026

Плагин Mail Mint – Email Marketing, Newsletter, Email Automation & WooCommerce Emails для WordPress уязвим к стандартной SQL-инъекции через параметр 'recipients' во всех версиях вплоть до 1.24.1 включительно из-за недостаточного экранирования пользовательских параметров и отсутствия достаточной подготовки (preparation) существующего SQL-запроса. Это позволяет атакующим с уровнем доступа администратора или выше добавлять дополнительные SQL-запросы к уже существующим, что может быть использовано для извлечения конфиденциальной информации из базы данных. Данная уязвимость представляет собой вторичную (second-order) SQL-инъекцию: вредоносный полезная нагрузка сначала сохраняется без санитизации через POST-запрос к /mrm/v1/campaigns/ (обходя проверку в функции filter_recipients(), поскольку приведение строки вида '1) OR ...' к целочисленному типу дает действительный числовой ID), а затем активируется последующим GET-запросом к /mrm/v1/campaigns/{id}, который десериализует получателей и передает необработанный id через array_column() в уязвимый запрос.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

Wordfence

Резервировать

22.06.2026

Раскрытие

10.07.2026

Модерация

принято

Вход

VDB-377459

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Do you know our Splunk app?

Download it now for free!