CVE-2026-13262 in Majestic Support Plugin
Tóm tắt
Bởi VulDB • 11/07/2026
Plugin Majestic Support – The Leading-Edge Help Desk & Customer Support cho WordPress bị lỗi SQL Injection chung (generic SQL Injection) thông qua tham số 'val' trong tất cả các phiên bản từ 1.1.9 trở về trước do thiếu cơ chế thoát ký tự đúng cách trên tham số nhập vào của người dùng và việc chuẩn hóa truy vấn SQL chưa đầy đủ. Điều này cho phép kẻ tấn công không xác thực (unauthenticated) chèn thêm các truy vấn SQL khác vào những truy vấn đã tồn tại, từ đó có thể trích xuất thông tin nhạy cảm từ cơ sở dữ liệu. Việc khai thác yêu cầu một giá trị nonce 'get-smart-reply' hợp lệ; bất kỳ người dùng nào ở cấp Subscriber đều có thể lấy được giá trị này bằng cách tạo ticket qua giao diện công cộng và truy cập trang chi tiết của ticket vừa tạo, khiến lỗ hổng này thực tế dễ bị khai thác bởi mọi người dùng đã xác thực.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.