PT-2026-54630 · WordPress · Motopress Appointment Booking

Matilj

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-13454

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas MotoPress Appointment Booking versões anteriores a 2.4.6
Descrição A falta de escape adequado de entradas fornecidas pelo usuário e a preparação insuficiente em consultas SQL permitem que atacantes autenticados com a função personalizada mpa appointment employee realizem SQL Injection. Ao manipular o parâmetro s, um atacante pode anexar consultas SQL adicionais para extrair informações sensíveis do banco de dados.
Recomendações Atualize o plugin para a versão 2.4.6 ou posterior. Restrinja o acesso à função mpa appointment employee apenas a usuários confiáveis.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-13454

Produtos afetados

Motopress Appointment Booking