CVE-2026-7797 in Appointment Booking Calendar Plugininformação

Sumário

de VulDB • 30/05/2026

O plugin para WordPress Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin é vulnerável a SQL Injection cega baseada em tempo (time-based blind SQL Injection) por meio do parâmetro 'append_where_sql' em todas as versões até a 1.6.11.8, inclusive, devido à falta de escape adequado no parâmetro fornecido pelo usuário e à ausência de preparação suficiente na consulta SQL existente. Isso permite que atacantes não autenticados anexem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações sensíveis do banco de dados. O endpoint REST /appointments/bulk é acessível por atacantes não autenticados porque sua verificação de permissão aceita um nonce público que está embutido no JavaScript do frontend do widget de agendamento (ssa.api.public_nonce) e visível para todos os visitantes do site; a exploração requer emitir a solicitação como PUT com um corpo application/x-www-form-urlencoded para que as superglobais do PHP não sejam populadas e a verificação da lista de bloqueio (blocklist) passe silenciosamente.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

04/05/2026

Divulgação

28/05/2026

Moderação

aceite

Entrada

VDB-366586

CPE

pronto

EPSS

0.00159

KEV

não

Atividades

baixo

Sector

Transportation, Police, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7797
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7797
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7797/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!