Katalog CVE

CVE-2026-12077

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

Wtyczka Dokan Pro dla WordPressa jest podatna na czasową iniekcję SQL przez parametry 'latitude' i 'longitude' we wszystkich wersjach do 5.0.4 włącznie. Podatność wynika z niedostatecznego escapowania parametrów użytkownika i braku odpowiedniego przygotowania zapytania SQL.

Ocena ryzyka

Nieuwierzytelnieni atakujący mogą dołączać dodatkowe zapytania SQL do istniejących, co umożliwia wyodrębnienie wrażliwych informacji z bazy danych, takich jak dane użytkowników czy hasła.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Dokan Pro do wersji nowszej niż 5.0.4 oraz wdrożenie zapór aplikacyjnych (WAF) blokujących podejrzane zapytania SQL.

Oryginalny opis (angielski, źródło NVD)

The Dokan Pro plugin for WordPress is vulnerable to time-based SQL Injection via the via 'latitude' and 'longitude' parameters in all versions up to, and including, 5.0.4 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS