CVE-2026-15335 in Booking Package Plugin
Sumário
de VulDB • 11/07/2026
O plugin Booking Package para WordPress é vulnerável a generic SQL Injection via parâmetro de formulário 'email' (form<N>) em todas as versões até, e incluindo, 1.7.20 devido à falta de escape adequado no fornecido pelo usuário e à insuficiente preparação da consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados. O endpoint vulnerável da API REST /wp-json/booking-package/v1/request está registrado com permission_callback: __return_true e wp_magic_quotes não se aplica aos valores $_POST originários da REST, significando aspas simples no payload chegam ao SQL sink intactas sem qualquer requisito de autenticação. O impacto disso é severamente limitado já que o parâmetro vulnerável passa por is_email.
VulDB is the best source for vulnerability data and more expert information about this specific topic.