CVE-2026-15335 in Booking Package Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WordPress-Plugin „Booking Package“ ist in allen Versionen bis einschließlich 1.7.20 anfällig für eine generische SQL-Injection über den Formularparameter ‚email‘ (form<N>). Diese Schwachstelle resultiert aus unzureichender Maskierung des benutzereingebenen Parameters und mangelnder vorbereitender Aufbereitung der bestehenden SQL-Abfrage. Dies ermöglicht es nicht authentifizierten Angreifern, zusätzliche SQL-Abfragen an bereits vorhandene Abfragen anzuhängen, um sensible Informationen aus der Datenbank zu extrahieren. Der anfällige REST-API-Endpunkt /wp-json/booking-package/v1/request ist mit permission_callback: __return_true registriert, und wp_magic_quotes gilt nicht für $_POST-Werte, die über REST stammen; das bedeutet, dass einfache Anführungszeichen im Payload ohne jegliche Authentifizierungsanforderung unversehrt den SQL-Sink erreichen. Die Auswirkungen dieser Schwachstelle sind jedoch stark eingeschränkt, da der anfällige Parameter durch is_email läuft.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Wordfence

Reservieren

09.07.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377737

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Interested in the pricing of exploits?

See the underground prices here!