CVE-2026-15335 in Booking Package Plugininformação

Sumário

de VulDB • 11/07/2026

O plugin Booking Package para WordPress é vulnerável a generic SQL Injection via parâmetro de formulário 'email' (form<N>) em todas as versões até, e incluindo, 1.7.20 devido à falta de escape adequado no fornecido pelo usuário e à insuficiente preparação da consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados. O endpoint vulnerável da API REST /wp-json/booking-package/v1/request está registrado com permission_callback: __return_true e wp_magic_quotes não se aplica aos valores $_POST originários da REST, significando aspas simples no payload chegam ao SQL sink intactas sem qualquer requisito de autenticação. O impacto disso é severamente limitado já que o parâmetro vulnerável passa por is_email.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

Wordfence

Reservar

09/07/2026

Divulgação

11/07/2026

Moderação

aceite

Entrada

VDB-377737

CPE

pronto

EPSS

0.00388

KEV

não

Atividades

baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!