CVE-2026-7797 in Appointment Booking Calendar Plugininformation

Résumé

par VulDB • 28/05/2026

Le plugin WordPress « Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin » présente une vulnérabilité de SQL Injection aveugle basée sur le temps via le paramètre 'append_where_sql' dans toutes les versions jusqu'à la 1.6.11.8 incluse, en raison d'une échappement insuffisant du paramètre fourni par l'utilisateur et d'une préparation insuffisante de la requête SQL existante. Cela permet aux attaquants non authentifiés d'ajouter des requêtes SQL supplémentaires aux requêtes existantes, ce qui peut être utilisé pour extraire des informations sensibles depuis la base de données. Le point de terminaison REST /appointments/bulk est accessible aux attaquants non authentifiés car son contrôle d'autorisation accepte un nonce public intégré dans le JavaScript frontend du widget de réservation (ssa.api.public_nonce) et visible par tous les visiteurs du site ; l'exploitation nécessite d'émettre la requête en tant que PUT avec un corps de type application/x-www-form-urlencoded afin que les superglobales PHP ne soient pas peuplées et que la vérification de la liste bloquante (blocklist) passe silencieusement.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

04/05/2026

Divulgation

28/05/2026

Modérer

accepté

Entrée

VDB-366586

CPE

prêt

EPSS

0.00159

KEV

non

Activités

faible

Secteur

Finance, Transportation, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7797
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7797
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7797/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!