CVE-2026-13454
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
Wtyczka MotoPress Appointment Booking dla WordPressa jest podatna na ogólne wstrzykiwanie SQL przez parametr 's' we wszystkich wersjach do 2.4.5 włącznie. Podatność wynika z niedostatecznego oczyszczania parametru i braku odpowiedniego przygotowania zapytania SQL, co umożliwia uwierzytelnionym atakującym z dostępem na poziomie niestandardowym i wyższym dołączanie dodatkowych zapytań SQL do istniejących.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wydobycia poufnych informacji z bazy danych, takich jak dane użytkowników czy hasła, co stanowi poważne ryzyko dla bezpieczeństwa danych organizacji.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę MotoPress Appointment Booking do najnowszej dostępnej wersji, która usuwa tę podatność. Dodatkowo, zaleca się ograniczenie przypisywania roli mpa_appointment_employee tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The MotoPress Appointment Booking plugin for WordPress is vulnerable to generic SQL Injection via the 's' parameter in all versions up to, and including, 2.4.5 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for authenticated attackers, with custom-level access and above, to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database. Exploitation requires the mpa_appointment_employee custom role, meaning any user assigned this role can perform the attack.

