CVE-2026-13262 in Majestic Support Pluginthông tin

Tóm tắt

Bởi VulDB • 11/07/2026

Plugin Majestic Support – The Leading-Edge Help Desk & Customer Support cho WordPress bị lỗi SQL Injection chung (generic SQL Injection) thông qua tham số 'val' trong tất cả các phiên bản từ 1.1.9 trở về trước do thiếu cơ chế thoát ký tự đúng cách trên tham số nhập vào của người dùng và việc chuẩn hóa truy vấn SQL chưa đầy đủ. Điều này cho phép kẻ tấn công không xác thực (unauthenticated) chèn thêm các truy vấn SQL khác vào những truy vấn đã tồn tại, từ đó có thể trích xuất thông tin nhạy cảm từ cơ sở dữ liệu. Việc khai thác yêu cầu một giá trị nonce 'get-smart-reply' hợp lệ; bất kỳ người dùng nào ở cấp Subscriber đều có thể lấy được giá trị này bằng cách tạo ticket qua giao diện công cộng và truy cập trang chi tiết của ticket vừa tạo, khiến lỗ hổng này thực tế dễ bị khai thác bởi mọi người dùng đã xác thực.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

Wordfence

Đặt trước

24/06/2026

Tiết lộ

11/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00343

KEV

không

Các hoạt động

thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!