GEO my WP <= 4.5.5 Unauthenticated SQL Injection (CVE-2026-9757)

漏洞概述 漏洞名称: GEO my WP <= 4.5.5 - Unauthenticated SQL Injection via 'swlatlng' / 'nelatlng' Parameters CVE ID: CVE-2026-9757 CVSS评分: 7.5 (High) 发布日期: May 29, 2026 最后更新日期: May 30, 2026 研究人员: Naoya Takahashi (nakko) 影响范围 受影响版本: GEO my WP <= 4.5.5 修复版本: 4.5.5.1 或更高版本 修复方案 修复建议: 更新到版本 4.5.5.1 或更高版本 漏洞描述 GEO my WP 插件在 WordPress 中通过 'swlatlng' 和 'nelatlng' 参数存在 SQL 注入漏洞。该漏洞存在于所有版本中，包括 4.5.5。参数从 通过 读取，绕过了 WordPress 的 保护，覆盖了 、 、 和 。然后每个参数通过 分割，生成的片段直接插入到 的 SQL 子句中，没有进行 验证、 转换、 或 。这使得未授权的攻击者可以向已经存在的查询中附加额外的 SQL 查询，用于从数据库中提取敏感信息。利用需要站点托管 Posts Locator 搜索结果短代码 在公共页面上，并且至少有一个带有 行的已发布帖子。 参考链接 plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org 其他信息 软件类型: Plugin 软件别名: geo-my-wp (查看 wordpress.org) 是否已修复: Yes 修复版本: 4.5.5.1 近期漏洞 GEO my WP <= 4.5.4 - Unauthenticated SQL Injection via 'distance' / 'lat' / 'lng' Parameters - CVE ID: CVE-2024-9757 - CVSS评分: 9.1 - 发布日期: May 27, 2026 GEO my WordPress <= 4.5.0.4 - Missing Authorization via get_field_options_ajax - CVE ID: CVE-2024-54326 - CVSS评分: 5.4 - 发布日期: December 11, 2024 GEO My WordPress <= 4.4.0.2 - Authenticated (Admin+) Arbitrary File Upload - CVE ID: CVE-2024-9422 - CVSS评分: 7.2 - 发布日期: October 31, 2024 GEO my WordPress <= 4.5.0.3 - Reflected Cross-Site Scripting - CVE ID: CVE-2024-47327 - CVSS评分: 6.1 - 发布日期: September 25, 2024 GEO my WordPress <= 4.5.0.1 - Unauthenticated Local File Inclusion - CVE ID: CVE-2024-6330 - CVSS评分: 9.8 - 发布日期: July 29, 2024 GEO my WordPress <= 4.1 - Cross-Site Request Forgery - CVE ID: CVE-2024-32097 - CVSS评分: 4.3 - 发布日期: April 11, 2024 GEO my WordPress <= 4.0.2 - Authenticated (Administrator+) SQL Injection - CVE ID: CVE-2023-52134 - CVSS评分: 6.6 - 发布日期: December 28, 2023 GEO my WordPress <= 4.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode - CVE ID: CVE-2023-5467 - CVSS评分: 6.4 - 发布日期: October 9, 2023 更多信息 Wordfence Intelligence 提供免费的个人和商业 API 访问 安装 Wordfence 以立即获取最新漏洞通知 Wordfence Intelligence 漏洞数据库完全免费访问和查询 页脚信息 业务时间: 9am-8pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT（不包括周末和节假日） 响应时间: 24小时支持，全年365天，1小时响应时间 版权信息 版权: © 2012-2026 Defiant Inc. 版权所有 其他链接 Terms of Service Privacy Policy and Notice at Collection Do Not Sell or Share My Personal Information 社交媒体 Twitter Facebook LinkedIn Instagram 订阅 订阅新闻和更新 输入邮箱地址 同意服务条款和隐私政策 其他资源 Products - Wordfence Free - Wordfence Premium - Wordfence Care - Wordfence Response - Wordfence CLI - Wordfence Intelligence - Wordfence Central Support - Documentation - Learning Center - Free Support - Premium Support News - Blog - In The News - Vulnerability Advisories About - About Wordfence - Affiliate Program - Employment - Contact - Security - CVE-Request Form Stay Updated - 订阅新闻和更新 - 输入邮箱地址 - 同意服务条款和隐私政策 其他信息 Wordfence Intelligence 提供免费的个人和商业 API 访问 安装 Wordfence 以立即获取最新漏洞通知 Wordfence Intelligence 漏洞数据库完全免费访问和查询 页脚信息 业务时间: 9am-8pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT（不包括周末和节假日） 响应时间: 24小时支持，全年365天，1小时响应时间 版权信息 版权: © 2012-2026 Defiant Inc. 版权所有 其他链接 Terms of Service Privacy Policy and Notice at Collection Do Not Sell or Share My Personal Information 社交媒体 Twitter Facebook LinkedIn Instagram 订阅 订阅新闻和更新 输入邮箱地址 同意服务条款和隐私政策 其他资源 Products - Wordfence Free - Wordfence Premium - Wordfence Care - Wordfence Response - Wordfence CLI - Wordfence Intelligence - Wordfence Central Support - Documentation - Learning Center - Free Support - Premium Support News - Blog - In The News - Vulnerability Advisories About - About Wordfence - Affiliate Program - Employment - Contact - Security - CVE-Request Form Stay Updated - 订阅新闻和更新 - 输入邮箱地址 - 同意服务条款和隐私政策 其他信息 Wordfence Intelligence 提供免费的个人和商业 API 访问 安装 Wordfence 以立即获取最新漏洞通知 Wordfence Intelligence 漏洞数据库完全免费访问和查询 页脚信息 业务时间: 9am-8pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT（不包括周末和节假日） 响应时间: 24小时支持，全年365天，1小时响应时间 版权信息 版权: © 2012-2026 Defiant Inc. 版权所有 其他链接 Terms of Service Privacy Policy and Notice at Collection Do Not Sell or Share My Personal Information 社交媒体 Twitter Facebook LinkedIn Instagram 订阅 订阅新闻和更新 输入邮箱地址 同意服务条款和隐私政策 其他资源 Products - Wordfence Free - Wordfence Premium - Wordfence Care - Wordfence Response - Wordfence CLI - Wordfence Intelligence - Wordfence Central Support - Documentation - Learning Center - Free Support - Premium Support News - Blog - In The News - Vulnerability Advisories About - About Wordfence - Affiliate Program - Employment - Contact - Security - CVE-Request Form Stay Updated - 订阅新闻和更新 - 输入邮箱地址 - 同意服务条款和隐私政策 其他信息 Wordfence Intelligence 提供免费的个人和商业 API 访问 安装 Wordfence 以立即获取最新漏洞通知 Wordfence Intelligence 漏洞数据库完全免费访问和查询 页脚信息 业务时间: 9am-8pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT（不包括周末和节假日） 响应时间: 24小时支持，全年365天，1小时响应时间 版权信息 版权: © 2012-2026 Defiant Inc. 版权所有 其他链接 Terms of Service Privacy Policy and Notice at Collection Do Not Sell or Share My Personal Information 社交媒体 Twitter Facebook LinkedIn Instagram 订阅 订阅新闻和更新 输入邮箱地址 同意服务条款和隐私政策 其他资源 Products - Wordfence Free - Wordfence Premium - Wordfence Care - Wordfence Response - Wordfence CLI - Wordf

目標達成すべての支援者に感謝 — 100%達成しました！

GEO my WP <= 4.5.5 Unauthenticated SQL Injection (CVE-2026-9757)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

GEO my WP <= 4.5.5 Unauthenticated SQL Injection (CVE-2026-9757)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！