CVE-2026-11360: Advanced Order Export For WooCommerce Authenticated SQL Injection

漏洞概述 漏洞名称: Advanced Order Export For WooCommerce <= 4.0.10 - Authenticated (Shop Manager+) SQL Injection via 'sort_direction' Parameter CVE ID: CVE-2026-11360 CVSS评分: 4.9 (Medium) 发布日期: June 17, 2026 最后更新日期: June 18, 2026 研究人员: Yaswanth Reddy Sunkara 影响范围 软件类型: Plugin 软件名称: Advanced Order Export For WooCommerce 受影响版本: <= 4.0.10 修复版本: 4.1.0 修复方案 修复建议: 更新到版本 4.1.0 或更新的已修补版本 漏洞描述 Advanced Order Export For WooCommerce 插件在 WordPress 中通过 'sort_direction' 参数存在通用 SQL 注入漏洞，影响所有版本至 4.0.10。由于对用户提供的参数缺乏足够的转义和充分的准备，导致现有 SQL 查询被附加额外的 SQL 查询，从而可能提取数据库中的敏感信息。该端点需要有效的 wo_nonce 和 Shop Manager 级别权限（如 view_woocommerce_reports 或 export_woocommerce_orders），并且 wp_magic_quotes 保护在预处理之前被剥离，允许引号和反斜杠字符以原始形式进入 SQL 上下文。 参考链接 plugins.trac.wordpress.org 其他信息 分享选项: Facebook, X (Twitter), LinkedIn, Email 近期漏洞 CVE-2024-10828: Advanced Order Export For WooCommerce <= 3.5.5 - Unauthenticated PHP Object Injection via Order Details CVE-2024-45293: PHPSpreadsheet Library <= 2.3.0 - XXE Injection CVE-2024-31256: Advanced Order Export For WooCommerce <= 3.4.4 - Authenticated (Shop Manager+) Remote Code Execution CVE-2022-40128: Advanced Order Export For WooCommerce <= 3.3.2 - Cross-Site Request Forgery CVE-2022-35275: Advanced Order Export For WooCommerce <= 3.3.1 - Reflected Cross-Site Scripting CVE-2021-24169: Advanced Order Export For WooCommerce <= 3.1.7 - Reflected Cross-Site Scripting CVE-2021-27349: Advanced Order Export For WooCommerce <= 3.1.7 - Cross-Site Scripting CVE-2020-11727: Advanced Order Export For WooCommerce <= 3.1.3 - Cross-Site Scripting CVE-2018-11525: Advanced Order Export For WooCommerce <= 1.5.4 - CSV Injection 免责声明 该记录包含受版权保护的材料，版权归 Defiant Inc. 和 MITRE Corporation 所有。 联系方式 技术支持: 9am-8pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT（不包括周末和节假日） 响应时间: 365 天/年，24 小时支持，1 小时响应时间 其他链接 Terms of Service Privacy Policy and Notice at Collection Do Not Sell or Share My Personal Information 社交媒体 Twitter Facebook YouTube Instagram 产品与服务 Products: Wordfence Free, Wordfence Premium, Wordfence Care, Wordfence Response, Wordfence CLI, Wordfence Intelligence, Wordfence Central Support: Documentation, Learning Center, Free Support, Premium Support News: Blog, In The News, Vulnerability Advisories About: About Wordfence, Affiliate Program, Employment, Contact, Security, CVE Request Form 订阅 Stay Updated: 注册获取新闻和更新，由经验丰富的安全专业人员提供 版权 © 2012-2026 Defiant Inc. All Rights Reserved

目標達成すべての支援者に感謝 — 100%達成しました！

CVE-2026-11360: Advanced Order Export For WooCommerce Authenticated SQL Injection

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

CVE-2026-11360: Advanced Order Export For WooCommerce Authenticated SQL Injection

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！