Sicherheits-Bulletin vom 13. Juli 2026: Unauthentifizierte SQL-Injection im WordPress-Plugin Booking Package
13. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 13. Juli fiel für unsere Zielgruppe ruhig aus: kein Shopware-Hinweis, keine PHP-Kern-Veröffentlichung und kein neues Vendor-Advisory mit Erstveröffentlichung an diesem Tag. Wir greifen den einen WordPress-Bezug heraus, dessen Eintrag in der National Vulnerability Database am 13. Juli aktualisiert wurde.
CVE-2026-15335 — Unauthentifizierte SQL-Injection in Booking Package (hoch)
Im Buchungs-Plugin Booking Package besteht in allen Versionen bis einschließlich 1.7.20 eine
ohne Anmeldung erreichbare SQL-Injection. Der REST-Endpunkt
/wp-json/booking-package/v1/request ist mit permission_callback: __return_true
registriert und damit für jeden erreichbar; der über das Formularfeld email übergebene Wert
wird unzureichend maskiert in eine bestehende Datenbankabfrage eingesetzt. Verschärfend kommt
hinzu, dass die WordPress-Absicherung wp_magic_quotes bei über die REST-Schnittstelle
gelieferten $_POST-Werten nicht greift, sodass einfache Anführungszeichen die
SQL-Verarbeitung unverändert erreichen. Ein Angreifer ohne Benutzerkonto könnte darüber
zusätzliche Abfragen anhängen und Daten aus der Datenbank auslesen. Die praktische
Ausnutzbarkeit ist allerdings deutlich eingeschränkt, weil der Wert zuvor die
WordPress-Funktion is_email() durchläuft — ein Schadwert muss also weiterhin als gültige
E-Mail-Adresse durchgehen. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5
(Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N), stuft die Lücke als hoch ein und ordnet sie der
Schwachstellenklasse CWE-89 (SQL-Injection) zu. Eine korrigierte Version ist zum
Redaktionsschluss nicht benannt; betroffen sind sämtliche Ausgaben bis einschließlich 1.7.20.
Solange kein Patch vorliegt, sollten Betreiber den betroffenen REST-Endpunkt über eine
Web-Application-Firewall oder Zugriffsregel einschränken beziehungsweise überwachen, das
Plugin bei Nichtbedarf deaktivieren und den Changelog des Herstellers beobachten, um die
Korrektur nach Verfügbarkeit unverzüglich einzuspielen.
Quellen: National Vulnerability Database — CVE-2026-15335 · CVE-Record — CVE-2026-15335
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.