CVE-2026-9757

Nome do Software Vulnerável e Versões Afetadas GEO my WP versões anteriores a 4.5.6

Descrição O plugin está sujeito a SQL Injection, permitindo que atacantes não autenticados anexem consultas SQL adicionais para extrair informações sensíveis do banco de dados. O problema ocorre porque os parâmetros swlatlng e nelatlng são lidos de $ SERVER['QUERY STRING'] via parse str(), ignorando a proteção padrão do WordPress. Esses parâmetros são então divididos e interpolados diretamente em uma cláusula SQL BETWEEN dentro da função gmw get locations within boundaries sql() sem a devida validação, conversão ou escape. A exploração requer que o site hospede o shortcode de resultados de pesquisa do Posts Locator ([gmw form="results" form id=N]) em uma página pública e possua pelo menos uma postagem publicada com uma linha gmw location associada.

Recomendações Atualize para uma versão posterior a 4.5.5. Como medida paliativa temporária, evite usar os parâmetros swlatlng e nelatlng ou restrinja o acesso a páginas que hospedam o shortcode de resultados de pesquisa do Posts Locator.