CVE-2026-4062

Nome do Software Vulnerável e Versões Afetadas Geo Mashup versões anteriores a 1.13.19

Descrição O plugin Geo Mashup para WordPress contém uma falha de injeção de SQL baseada em tempo (time-based blind SQL injection). Este problema permite que atacantes não autenticados anexem consultas SQL adicionais a consultas existentes para extrair informações sensíveis do banco de dados. A falha ocorre porque os parâmetros fornecidos pelo usuário não são suficientemente escapados ou preparados antes de serem usados em consultas SQL. Especificamente, a função esc sql() é utilizada, mas não protege contra a injeção de parênteses ou palavras-chave SQL quando os valores são colocados em contextos IN(...) ou NOT IN(...) não citados. Embora exista um sanitizador apenas numérico na função sanitize query args(), ele é utilizado apenas no caminho de código AJAX e está ausente nos caminhos de código render-map.php e nas tags de template. Os parâmetros afetados são 'object ids' e 'exclude object ids'.

Recomendações Atualize o plugin para uma versão posterior à 1.13.18.