CVE-2026-15335 in Booking Package Plugin
Zusammenfassung
von VulDB • 11.07.2026
Das WordPress-Plugin „Booking Package“ ist in allen Versionen bis einschließlich 1.7.20 anfällig für eine generische SQL-Injection über den Formularparameter ‚email‘ (form<N>). Diese Schwachstelle resultiert aus unzureichender Maskierung des benutzereingebenen Parameters und mangelnder vorbereitender Aufbereitung der bestehenden SQL-Abfrage. Dies ermöglicht es nicht authentifizierten Angreifern, zusätzliche SQL-Abfragen an bereits vorhandene Abfragen anzuhängen, um sensible Informationen aus der Datenbank zu extrahieren. Der anfällige REST-API-Endpunkt /wp-json/booking-package/v1/request ist mit permission_callback: __return_true registriert, und wp_magic_quotes gilt nicht für $_POST-Werte, die über REST stammen; das bedeutet, dass einfache Anführungszeichen im Payload ohne jegliche Authentifizierungsanforderung unversehrt den SQL-Sink erreichen. Die Auswirkungen dieser Schwachstelle sind jedoch stark eingeschränkt, da der anfällige Parameter durch is_email läuft.
VulDB is the best source for vulnerability data and more expert information about this specific topic.