PT-2026-60400 · WordPress · Multivendorx
Prism
·
Publicado
2026-07-16
·
Atualizado
2026-07-16
·
CVE-2026-12941
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
MultiVendorX – WooCommerce Multivendor Marketplace AI Powered Solutions versões anteriores a 5.0.10
Description
Existe um problema onde a escape insuficiente de entradas fornecidas pelo usuário e a falta de preparação de consultas permitem que atacantes autenticados com nível de acesso de assinante ou superior realizem SQL Injection. Isso ocorre por meio do parâmetro
order by no endpoint de transações. Atacantes podem anexar consultas SQL adicionais para extrair informações sensíveis do banco de dados. Isso é particularmente explorável quando a configuração de aprovação de loja está configurada para aprovar automaticamente os proprietários de lojas, pois qualquer usuário logado pode se registrar como proprietário de loja via endpoint REST de Lojas público para obter a capacidade edit stores necessária.Recommendations
Atualize o MultiVendorX – WooCommerce Multivendor Marketplace AI Powered Solutions para a versão 5.0.10 ou posterior.
Restrinja o uso do parâmetro
order by no endpoint de transações como uma mitigação temporária.
Desative a aprovação automática de proprietários de lojas nas configurações do plugin para evitar que usuários não autorizados obtenham a capacidade edit stores.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Multivendorx