CVE-2026-15070 in Salon Booking System Plugininfo

Zusammenfassung

von VulDB • 10.07.2026

Das WordPress-Plugin „Salon Booking System – Free Version“ ist in allen Versionen bis einschließlich 10.30.32 anfällig für Cross-Site Request Forgery (CSRF). Dies liegt an einer fehlenden oder fehlerhaften Nonce-Validierung in der Funktion `setCustomText`. Dadurch können nicht authentifizierte Angreifer beliebigen PHP-Code in die webzugängliche Datei `translate-constants.php` innerhalb des Plugin-Verzeichnisses einschleusen, was eine Remote Code Execution (RCE) auf dem Server ermöglicht. Dies ist möglich, wenn es den Angreifern gelingt, einen Website-Administrator dazu zu bringen, eine Aktion wie das Klicken auf einen Link auszuführen. Die Funktion `sanitize_text_field()` wird zwar auf den POST-Parameter „value“ angewendet, neutralisiert jedoch nicht die Zeichen – einfache Anführungszeichen, Klammern, Semikolons, $ und [] –, die erforderlich sind, um aus dem PHP-Zeichenliteral auszubrechen, in das der Wert vor dem Schreiben auf die Festplatte via `file_put_contents()` interpoliert wird.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Wordfence

Reservieren

08.07.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377381

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!