The Creative Mail – Easier WordPress & WooCommerce Email Marketing plugin for WordPress is vulnerable to SQL Injection via the 'checkout_uuid' parameter in all versions up to, and including, 1.6.9. This is due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query in the `has_checkout_consent()` method. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
The Creative Mail WordPress plugin versions up to 1.6.9 contains a SQL injection vulnerability in the 'checkout_uuid' parameter that allows unauthenticated attackers to extract sensitive database information. The vulnerability exists in the has_checkout_consent() method due to insufficient input escaping and lack of prepared statements.
ثغرة حقن SQL في مكون Creative Mail للووردبريس تؤثر على جميع الإصدارات حتى 1.6.9 من خلال معامل 'checkout_uuid' غير المحمي بشكل كافٍ. يمكن للمهاجمين غير المصرح لهم استغلال هذه الثغرة لتنفيذ استعلامات SQL إضافية واستخراج بيانات حساسة من قاعدة البيانات. تنشأ المشكلة من عدم استخدام العبارات المحضرة وعدم كفاية تصفية المدخلات في طريقة has_checkout_consent().
يحتوي مكون Creative Mail للووردبريس في الإصدارات حتى 1.6.9 على ثغرة حقن SQL في معامل 'checkout_uuid' تسمح للمهاجمين غير المصرح لهم باستخراج معلومات حساسة من قاعدة البيانات. تنشأ الثغرة في طريقة has_checkout_consent() بسبب عدم كفاية تصفية المدخلات وعدم استخدام العبارات المحضرة.
Update the Creative Mail plugin to version 1.7.0 or later immediately. If immediate update is not possible, disable the plugin until patched. Implement Web Application Firewall (WAF) rules to filter malicious SQL injection attempts targeting the checkout_uuid parameter.
قم بتحديث مكون Creative Mail إلى الإصدار 1.7.0 أو أحدث فوراً. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل المكون حتى يتم إصلاحه. طبق قواعد جدار حماية تطبيقات الويب (WAF) لتصفية محاولات حقن SQL الضارة الموجهة لمعامل checkout_uuid.