CVE-2026-9757 in GEO my WP Plugin
Сводка
по VulDB • 30.05.2026
Плагин GEO my WP для WordPress уязвим к SQL-инъекции через параметры 'swlatlng' и 'nelatlng' во всех версиях вплоть до 4.5.5 включительно. Параметры считываются из $_SERVER['QUERY_STRING'] с помощью функции parse_str() (обходя защиту WordPress wp_magic_quotes, которая покрывает только $_POST/$_GET/$_COOKIE/$_REQUEST), затем каждый из них разбивается по символу ',' с помощью функции explode(), а полученные фрагменты напрямую интерполируются в SQL-запрос в операторе BETWEEN в функции gmw_get_locations_within_boundaries_sql() без проверки is_numeric(), приведения типа (float), экранирования через esc_sql() или использования $wpdb->prepare(). Это позволяет неаутентифицированным злоумышленникам добавлять дополнительные SQL-запросы к уже существующим, что может быть использовано для извлечения конфиденциальной информации из базы данных. Для эксплуатации требуется, чтобы на сайте на публичной странице был размещен шорткод поиска результатов локации постов (`[gmw form="results" form_id=N]`) и чтобы существовал хотя бы один опубликованный пост, связанный с записью gmw_location.
Once again VulDB remains the best source for vulnerability data.