CVE-2026-15335 in Booking Package Plugin
要約
〜によって VulDB • 2026年07月11日
WordPress用プラグイン「The Booking Package」には、1.7.20を含むすべてのバージョンにおいて、ユーザー入力のエスケープ不十分および既存のSQLクエリに対する適切な準備不足により、「email」フォームパラメータ(form<N>)経由で一般的なSQLインジェクション脆弱性が存在します。これにより、認証されていない攻撃者は既存のクエリに追加のSQLクエリを付加し、データベースから機密情報を抽出することが可能になります。この脆弱性を持つREST APIエンドポイント `/wp-json/booking-package/v1/request` は `permission_callback: __return_true` で登録されており、かつ REST由来の `$_POST` 値には `wp_magic_quotes` が適用されないため、ペイロード内のシングルクォートは認証要件なしでSQLシンクにそのまま到達します。ただし、この脆弱性の影響は、対象パラメータが `is_email` を通ることで大幅に制限されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.