PT-2026-54498 · WordPress · Bookingpress Appointment Booking Pro
H0Xilo
·
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-11823
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
BookingPress Appointment Booking Pro versões anteriores a 5.7.2
Description
Existe um problema onde invasores não autenticados podem executar consultas SQL adicionais para extrair informações sensíveis do banco de dados. Isso ocorre porque os dados POST fornecidos pelo usuário são processados usando a função
stripslashes deep() e, em seguida, inseridos diretamente em uma cláusula SQL LIKE sem o uso de $wpdb->prepare() ou parametrização. A falha está localizada na função bpa assign staffmember to slots(), afetando especificamente o parâmetro store service date.Recommendations
Atualize o BookingPress Appointment Booking Pro para a versão 5.7.2 ou posterior.
Como mitigação temporária, restrinja o acesso à funcionalidade que utiliza a função
bpa assign staffmember to slots().Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bookingpress Appointment Booking Pro