CVE-2026-6457

Nome do Software Vulnerável e Versões Afetadas Geo Mashup versões anteriores a 1.13.20

Descrição O plugin Geo Mashup para WordPress contém uma Injeção de SQL cega baseada em tempo (time-based blind SQL Injection), uma técnica que permite a um invasor inferir dados observando o tempo que o servidor leva para responder a consultas específicas. O problema existe devido à escape insuficiente de parâmetros fornecidos pelo usuário e à falta de preparação adequada da consulta SQL. Atacantes autenticados com nível de acesso de assinante ou superior podem explorar o parâmetro geo mashup null fields para anexar consultas SQL adicionais e extrair informações sensíveis do banco de dados.

Recomendações Atualize o plugin para uma versão posterior à 1.13.19. Como medida paliativa temporária, restrinja o acesso ao parâmetro geo mashup null fields para minimizar o risco de exploração.