Pubblicato il 2026-07-10 · Fonte: NVD NIST
La vulnerabilità CVE-2026-15300 è stata scoperta nel plugin GEO my WP per WordPress, che consente attacchi di SQL Injection tramite i parametri 'distance', 'lat' e 'lng'. La versione interessata è fino alla 4.5.4. La vulnerabilità sfrutta il fatto che i valori vengono letti da $_SERVER['QUERY_STRING'] e passati attraverso la funzione esc_sql() senza essere correttamente sanificati. Ciò consente a un attaccante di eseguire query SQL arbitrarie. La vulnerabilità è stata risolta nella versione 4.5.5 del plugin.
Un attaccante può sfruttare questa vulnerabilità per eseguire query SQL arbitrarie sul database del sito web, potenzialmente portando a violazioni dei dati, alterazione dei dati o anche il controllo completo del database. I sistemi a rischio sono quelli che utilizzano il plugin GEO my WP per WordPress, versioni fino alla 4.5.4.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin GEO my WP alla versione 4.5.5 o successiva. Inoltre, è importante assicurarsi che tutti i parametri di input vengano correttamente sanificati e validati per prevenire attacchi di SQL Injection. È anche raccomandato utilizzare pratiche di sicurezza generiche, come l'utilizzo di un Web Application Firewall (WAF) e la limitazione degli accessi al database.
La vulnerabilità CVE-2026-15300 è una vulnerabilità di SQL Injection nel plugin GEO my WP per WordPress, che consente attacchi di SQL Injection tramite i parametri 'distance', 'lat' e 'lng'.
Le versioni del plugin GEO my WP interessate sono quelle fino alla 4.5.4.
Per proteggersi da questa vulnerabilità, è necessario aggiornare il plugin GEO my WP alla versione 4.5.5 o successiva e assicurarsi che tutti i parametri di input vengano correttamente sanificati e validati.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.