PT-2026-54498 · WordPress · Bookingpress Appointment Booking Pro

H0Xilo

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-11823

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas BookingPress Appointment Booking Pro versões anteriores a 5.7.2
Description Existe um problema onde invasores não autenticados podem executar consultas SQL adicionais para extrair informações sensíveis do banco de dados. Isso ocorre porque os dados POST fornecidos pelo usuário são processados usando a função stripslashes deep() e, em seguida, inseridos diretamente em uma cláusula SQL LIKE sem o uso de $wpdb->prepare() ou parametrização. A falha está localizada na função bpa assign staffmember to slots(), afetando especificamente o parâmetro store service date.
Recommendations Atualize o BookingPress Appointment Booking Pro para a versão 5.7.2 ou posterior. Como mitigação temporária, restrinja o acesso à funcionalidade que utiliza a função bpa assign staffmember to slots().

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-11823

Produtos afetados

Bookingpress Appointment Booking Pro