CVE-2026-15335 in Booking Package Plugininformación

Resumen

por VulDB • 2026-07-11

El plugin Booking Package para WordPress es vulnerable a una inyección SQL genérica a través del parámetro de formulario 'email' (form) en todas las versiones hasta la 1.7.20, inclusive, debido al escape insuficiente del parámetro proporcionado por el usuario y a la falta de preparación adecuada en la consulta SQL existente. Esto permite que atacantes no autenticados añadan consultas SQL adicionales a las ya existentes, lo cual puede utilizarse para extraer información sensible desde la base de datos. El punto final vulnerable de la API REST /wp-json/booking-package/v1/request está registrado con permission_callback: __return_true y wp_magic_quotes no se aplica a los valores $_POST originados en REST, lo que significa que las comillas simples presentes en el payload llegan intactas al sumidero SQL sin requerir autenticación. El impacto de esta vulnerabilidad está severamente limitado ya que el parámetro vulnerable pasa por la función is_email.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

Wordfence

Reservar

2026-07-09

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377737

CPE

listo

EPSS

0.00388

KEV

no

Actividades

bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!