PT-2026-54630 · WordPress · Motopress Appointment Booking
Matilj
·
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-13454
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
MotoPress Appointment Booking versões anteriores a 2.4.6
Descrição
A falta de escape adequado de entradas fornecidas pelo usuário e a preparação insuficiente em consultas SQL permitem que atacantes autenticados com a função personalizada
mpa appointment employee realizem SQL Injection. Ao manipular o parâmetro s, um atacante pode anexar consultas SQL adicionais para extrair informações sensíveis do banco de dados.Recomendações
Atualize o plugin para a versão 2.4.6 ou posterior.
Restrinja o acesso à função
mpa appointment employee apenas a usuários confiáveis.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Motopress Appointment Booking