CVE-2026-15289 in Booking Calendar Appointment Booking System Plugin
요약
\~에 의해 VulDB • 2026. 07. 10.
WordPress용 예약 캘린더 및 약속 예약 시스템 플러그인(The Booking calendar, Appointment Booking System)은 3.2.17 버전까지 모든 버전에서 SQL 쿼리 준비 부족과 사용자 제공 파라미터에 대한 부적절한 이스케이핑으로 인해 ‘wpdevart_id’ 파라미터를 통해 시간 기반 SQL Injection 취약점이 존재합니다. 이로 인해 인증되지 않은 공격자가 기존 쿼리에 추가적인 SQL 쿼리를 삽입하여 데이터베이스의 민감한 정보를 추출할 수 있습니다. 이 취약점을 악용하려면 플러그인의 Pro 버전이 설치 및 활성화되어 있고, 'Delete previous dates' 옵션이 선택되어 있어야 합니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.