CVE-2026-12077
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Wtyczka Dokan Pro dla WordPressa jest podatna na czasową iniekcję SQL przez parametry 'latitude' i 'longitude' we wszystkich wersjach do 5.0.4 włącznie. Podatność wynika z niedostatecznego escapowania parametrów użytkownika i braku odpowiedniego przygotowania zapytania SQL.
Ocena ryzyka
Nieuwierzytelnieni atakujący mogą dołączać dodatkowe zapytania SQL do istniejących, co umożliwia wyodrębnienie wrażliwych informacji z bazy danych, takich jak dane użytkowników czy hasła.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Dokan Pro do wersji nowszej niż 5.0.4 oraz wdrożenie zapór aplikacyjnych (WAF) blokujących podejrzane zapytania SQL.
Oryginalny opis (angielski, źródło NVD)
The Dokan Pro plugin for WordPress is vulnerable to time-based SQL Injection via the via 'latitude' and 'longitude' parameters in all versions up to, and including, 5.0.4 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.

