The Riaxe Product Customizer plugin for WordPress is vulnerable to SQL Injection via the 'options' parameter keys within 'product_data' of the /wp-json/InkXEProductDesignerLite/add-item-to-cart REST API endpoint in all versions up to, and including, 2.1.2. This is due to insufficient escaping on the user-supplied parameter and insufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
The Riaxe Product Customizer WordPress plugin versions up to 2.1.2 contains a SQL injection vulnerability in the REST API endpoint that allows unauthenticated attackers to extract sensitive database information. The vulnerability exists due to insufficient escaping of the 'options' parameter in product_data, enabling attackers to append malicious SQL queries.
ثغرة حقن SQL في مكون Riaxe Product Customizer لـ WordPress تؤثر على جميع الإصدارات حتى 2.1.2، حيث يمكن للمهاجمين غير المصرح لهم استخراج معلومات حساسة من قاعدة البيانات. تنشأ الثغرة من عدم كفاية التحقق من صحة معامل 'options' في نقطة نهاية REST API للسلة. يمكن للمهاجمين إضافة استعلامات SQL إضافية للوصول إلى بيانات المستخدمين والعملاء.
The Riaxe Product Customizer WordPress plugin versions up to 2.1.2 contains a SQL injection vulnerability in the REST API endpoint that allows unauthenticated attackers to extract sensitive database information. The vulnerability exists due to insufficient escaping of the 'options' parameter in product_data, enabling attackers to append malicious SQL queries.
Update the Riaxe Product Customizer plugin to version 2.1.3 or later immediately. If immediate patching is not possible, disable the plugin and remove it from production environments. Implement Web Application Firewall (WAF) rules to filter malicious SQL patterns in REST API requests to the affected endpoint. Monitor database access logs for suspicious query patterns and implement principle of least privilege for database user accounts.
قم بتحديث مكون Riaxe Product Customizer إلى الإصدار 2.1.3 أو أحدث فوراً. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل المكون وإزالته من بيئات الإنتاج. طبق قواعد جدار حماية تطبيقات الويب (WAF) لتصفية أنماط SQL الضارة في طلبات REST API للنقطة النهائية المتأثرة. راقب سجلات الوصول إلى قاعدة البيانات للبحث عن أنماط الاستعلام المريبة وطبق مبدأ الامتيازات الأقل للحسابات.