PT-2026-60400 · WordPress · Multivendorx

Prism

·

Publicado

2026-07-16

·

Atualizado

2026-07-16

·

CVE-2026-12941

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas MultiVendorX – WooCommerce Multivendor Marketplace AI Powered Solutions versões anteriores a 5.0.10
Description Existe um problema onde a escape insuficiente de entradas fornecidas pelo usuário e a falta de preparação de consultas permitem que atacantes autenticados com nível de acesso de assinante ou superior realizem SQL Injection. Isso ocorre por meio do parâmetro order by no endpoint de transações. Atacantes podem anexar consultas SQL adicionais para extrair informações sensíveis do banco de dados. Isso é particularmente explorável quando a configuração de aprovação de loja está configurada para aprovar automaticamente os proprietários de lojas, pois qualquer usuário logado pode se registrar como proprietário de loja via endpoint REST de Lojas público para obter a capacidade edit stores necessária.
Recommendations Atualize o MultiVendorX – WooCommerce Multivendor Marketplace AI Powered Solutions para a versão 5.0.10 ou posterior. Restrinja o uso do parâmetro order by no endpoint de transações como uma mitigação temporária. Desative a aprovação automática de proprietários de lojas nas configurações do plugin para evitar que usuários não autorizados obtenham a capacidade edit stores.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12941

Produtos afetados

Multivendorx