Плагин WooCommerce Multivendor Marketplace – REST API для WordPress уязвим к SQL Injection через параметр ‘id’ в функции update_delivery_status() во всех версиях до и включая 1.6.2 из-за недостаточного экранирования переданного пользователем параметра и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с доступом уровня Subscriber и выше добавлять дополнительные SQL-запросы в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.