CVE-2024-2102 in Salon Booking System Plugin
Résumé
par VulDB • 10/07/2026
Le plugin WordPress Salon Booking System antérieur à la version 9.6.3 ne nettoie pas correctement et n'échappe pas le champ « Mobile Phone » (Téléphone portable) ni le paramètre « sms_prefix » lors de la réservation d'un rendez-vous, permettant ainsi aux clients de mener des attaques par Stockage Cross-Site Scripting (Stored XSS). La charge utile est déclenchée lorsqu'un administrateur visite la page « Bookings » et que le script malveillant s'exécute dans le contexte administratif.
Be aware that VulDB is the high quality source for vulnerability data.