CVE-2026-11823
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
Wtyczka BookingPress Appointment Booking Pro dla WordPressa do wersji 5.7.1 włącznie zawiera podatność na iniekcję SQL w parametrze 'store_service_date' funkcji bpa_assign_staffmember_to_slots(). Problem wynika z użycia stripslashes_deep() na danych POST bez przygotowania zapytania przez $wpdb->prepare(), co pozwala nieuwierzytelnionym atakującym na dołączanie dodatkowych zapytań SQL.
Ocena ryzyka
Nieuwierzytelniony atakujący może wykorzystać tę podatność do wyodrębnienia wrażliwych danych z bazy danych, takich jak hasła użytkowników, dane klientów czy klucze API, co prowadzi do naruszenia poufności i integralności systemu.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę BookingPress Appointment Booking Pro do najnowszej dostępnej wersji, która usuwa tę podatność, oraz zastosować parametryzację zapytań SQL zamiast bezpośredniego interpolowania danych użytkownika.
Oryginalny opis (angielski, źródło NVD)
The BookingPress Appointment Booking Pro plugin for WordPress is vulnerable to SQL Injection via the 'store_service_date' parameter of the bpa_assign_staffmember_to_slots() function in versions up to and including 5.7.1. This is due to the explicit use of stripslashes_deep() on user-supplied POST data before it is interpolated verbatim into a SQL LIKE clause without use of $wpdb->prepare() or any parameterization. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.

