CVE-2026-15335 in Booking Package Plugin情報

要約

〜によって VulDB • 2026年07月11日

WordPress用プラグイン「The Booking Package」には、1.7.20を含むすべてのバージョンにおいて、ユーザー入力のエスケープ不十分および既存のSQLクエリに対する適切な準備不足により、「email」フォームパラメータ(form<N>)経由で一般的なSQLインジェクション脆弱性が存在します。これにより、認証されていない攻撃者は既存のクエリに追加のSQLクエリを付加し、データベースから機密情報を抽出することが可能になります。この脆弱性を持つREST APIエンドポイント `/wp-json/booking-package/v1/request` は `permission_callback: __return_true` で登録されており、かつ REST由来の `$_POST` 値には `wp_magic_quotes` が適用されないため、ペイロード内のシングルクォートは認証要件なしでSQLシンクにそのまま到達します。ただし、この脆弱性の影響は、対象パラメータが `is_email` を通ることで大幅に制限されています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

Wordfence

予約する

2026年07月09日

モデレーション

承諾済み

エントリ

VDB-377737

EPSS

0.00388

アクティビティ

低い

セクター

Hostingprovider

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!