CVE-2026-15070 in Salon Booking System Plugin情報

要約

〜によって VulDB • 2026年07月10日

WordPress用プラグイン「The Salon Booking System – Free Version」の10.30.32以前の全バージョンにおいて、Cross-Site Request Forgery (CSRF) の脆弱性が存在します。これは、setCustomText関数でnonce検証が欠落しているか正しくないことが原因です。これにより、認証されていない攻撃者は、プラグインディレクトリ内のWebからアクセス可能なtranslate-constants.phpファイルに任意のPHPコードを注入でき、サイト管理者に対してリンクをクリックなどのアクションを実行させるような偽造されたリクエストを送信することで、サーバー上でリモートコード実行 (RCE) を可能にしてしまいます。POST 'value' パラメータにはsanitize_text_field() が適用されていますが、これは値がfile_put_contents() 経由でディスクに書き込まれる前に挿入されるPHP文字列リテラルから脱出するために必要な文字(シングルクォート、括弧、セミコロン、$、[])を無力化しません。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

Wordfence

予約する

2026年07月08日

モデレーション

承諾済み

エントリ

VDB-377381

EPSS

0.00000

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!