Gratis scannen
Analyse in behandelingCVE-2026-6929

CVE-2026-6929: SQL Injection in JoomSport WordPress Plugin

Platform

wordpress

Component

joomsport-sports-league-results-management

Opgelost in

5.7.8

Bekijk op NVD
Opslaan

CVE-2026-6929 beschrijft een time-based blind SQL Injection kwetsbaarheid in de JoomSport WordPress plugin voor sportteams en competities. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om gevoelige informatie uit de database te extraheren door SQL-query's toe te voegen aan bestaande query's. De kwetsbaarheid treedt op in versies van 0.0.0 tot en met 5.7.7. Een patch is beschikbaar in versie 5.7.8.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot de database van de WordPress website. Aanvallers kunnen gevoelige informatie zoals gebruikersnamen, wachtwoorden, e-mailadressen en andere persoonlijke gegevens stelen. Afhankelijk van de database structuur en de data die erin is opgeslagen, kan de impact aanzienlijk zijn. De mogelijkheid tot data-exfiltratie en potentiële wijziging van data maakt dit een ernstige dreiging. Deze kwetsbaarheid lijkt op andere SQL Injection kwetsbaarheden waarbij onvoldoende input validatie en sanitatie de oorzaak is.

Uitbuitingscontext

De kwetsbaarheid is openbaar bekend gemaakt op 2026-05-13. Er is momenteel geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid exploiteren. De CVSS score van 7.5 (HIGH) duidt op een aanzienlijke dreiging. Er zijn geen indicaties dat deze kwetsbaarheid op KEV staat, maar de ernst van de kwetsbaarheid vereist aandacht.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

CISA SSVC

Exploitationnone
Automatableyes
Technical Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityNoneRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Geen — geen integriteitsimpact.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentjoomsport-sports-league-results-management
Leverancierwordfence
Minimumversie0.0.0
Maximumversie5.7.7
Opgelost in5.7.8

Zwakheidsclassificatie (CWE)

CWE-89

Tijdlijn

  1. Reserved
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie is het upgraden van de JoomSport plugin naar versie 5.7.8 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin of het beperken van de toegang tot de pagina's waar de 'sortf' parameter wordt gebruikt. Implementeer een Web Application Firewall (WAF) met regels die SQL Injection pogingen detecteren en blokkeren. Controleer de WordPress configuratie op onnodige privileges en zorg ervoor dat de database gebruikersaccount minimale rechten heeft. Na de upgrade, verifieer de fix door een poging te doen om een SQL Injection payload via de 'sortf' parameter te injecteren en te controleren of deze wordt geblokkeerd.

Hoe te verhelpen

Update naar versie 5.7.8, of een nieuwere gepatchte versie

Veelgestelde vragen

Wat is CVE-2026-6929 — SQL Injection in JoomSport WordPress Plugin?

CVE-2026-6929 is een time-based blind SQL Injection kwetsbaarheid in de JoomSport WordPress plugin, waardoor ongeauthenticeerde aanvallers gevoelige data uit de database kunnen extraheren.

Am I affected by CVE-2026-6929 in JoomSport WordPress Plugin?

U bent mogelijk getroffen als u de JoomSport plugin gebruikt in versie 0.0.0 tot en met 5.7.7. Controleer uw plugin versie en upgrade indien nodig.

How do I fix CVE-2026-6929 in JoomSport WordPress Plugin?

Upgrade de JoomSport plugin naar versie 5.7.8 of hoger. Indien een upgrade niet direct mogelijk is, overweeg dan tijdelijke mitigatiemaatregelen zoals het uitschakelen van de plugin.

Is CVE-2026-6929 being actively exploited?

Er is momenteel geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de hoge CVSS score vereist aandacht.

Where can I find the official JoomSport advisory for CVE-2026-6929?

Raadpleeg de JoomSport website of de WordPress plugin directory voor de officiële advisory en updates over deze kwetsbaarheid.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen
livefree scan

Scan nu uw WordPress project — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...