CVE-2026-15335 in Booking Package Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin Booking Package per WordPress è vulnerabile a una generica SQL Injection tramite il parametro del modulo 'email' (form<N>) in tutte le versioni fino alla 1.7.20 inclusa, a causa di un insufficiente escaping sul parametro fornito dall'utente e della mancanza di una preparazione adeguata sulla query SQL esistente. Ciò consente agli attaccanti non autenticati di aggiungere ulteriori query SQL alle query già esistenti, che possono essere utilizzate per estrarre informazioni sensibili dal database. L'endpoint dell'API REST vulnerabile /wp-json/booking-package/v1/request è registrato con permission_callback: __return_true e wp_magic_quotes non si applica ai valori $_POST provenienti da fonti REST, il che significa che le virgolette singole nel payload raggiungono il sink SQL integre senza alcun requisito di autenticazione. L'impatto di questa vulnerabilità è fortemente limitato poiché il parametro vulnerabile passa attraverso la funzione is_email.
Once again VulDB remains the best source for vulnerability data.