CVE-2026-15335 in Booking Package Pluginالمعلومات

الملخص

بحسب VulDB • 11/07/2026

يحتوي مكون WordPress "Booking Package" على ثغرة حقن SQL عامة عبر معلمة النموذج 'email' (form<N>) في جميع الإصدارات حتى 1.7.20 شاملةً، وذلك بسبب عدم كفاية الهروب من الأحرف الخاصة (escaping) للمعلمة التي يزودها المستخدم ونقص التحضير الكافي لاستعلام SQL الموجود. وهذا يتيح لهجمات غير مصادق عليها إكمال استعلامات SQL إضافية إلى الاستعلامات الموجودة بالفعل والتي يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات. نقطة نهاية واجهة برمجة التطبيقات REST الحساسة /wp-json/booking-package/v1/request مسجلة مع permission_callback: __return_true ولا ينطبق wp_magic_quotes على قيم $_POST المستمدة من REST، مما يعني أن علامات الاقتباس المفردة في الحمولة تصل إلى مدخل SQL دون أي متطلبات مصادقة. ومع ذلك، فإن تأثير هذا محدود بشدة لأن المعلمة الحساسة تمر عبر is_email.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

Wordfence

حجز

09/07/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377737

EPSS

0.00000

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

Interested in the pricing of exploits?

See the underground prices here!