Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 13. Juli 2026: Unauthentifizierte SQL-Injection im WordPress-Plugin Booking Package

13. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 13. Juli fiel für unsere Zielgruppe ruhig aus: kein Shopware-Hinweis, keine PHP-Kern-Veröffentlichung und kein neues Vendor-Advisory mit Erstveröffentlichung an diesem Tag. Wir greifen den einen WordPress-Bezug heraus, dessen Eintrag in der National Vulnerability Database am 13. Juli aktualisiert wurde.

CVE-2026-15335 — Unauthentifizierte SQL-Injection in Booking Package (hoch)

Im Buchungs-Plugin Booking Package besteht in allen Versionen bis einschließlich 1.7.20 eine ohne Anmeldung erreichbare SQL-Injection. Der REST-Endpunkt /wp-json/booking-package/v1/request ist mit permission_callback: __return_true registriert und damit für jeden erreichbar; der über das Formularfeld email übergebene Wert wird unzureichend maskiert in eine bestehende Datenbankabfrage eingesetzt. Verschärfend kommt hinzu, dass die WordPress-Absicherung wp_magic_quotes bei über die REST-Schnittstelle gelieferten $_POST-Werten nicht greift, sodass einfache Anführungszeichen die SQL-Verarbeitung unverändert erreichen. Ein Angreifer ohne Benutzerkonto könnte darüber zusätzliche Abfragen anhängen und Daten aus der Datenbank auslesen. Die praktische Ausnutzbarkeit ist allerdings deutlich eingeschränkt, weil der Wert zuvor die WordPress-Funktion is_email() durchläuft — ein Schadwert muss also weiterhin als gültige E-Mail-Adresse durchgehen. Die National Vulnerability Database vergibt einen CVSS-Wert von 7.5 (Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N), stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-89 (SQL-Injection) zu. Eine korrigierte Version ist zum Redaktionsschluss nicht benannt; betroffen sind sämtliche Ausgaben bis einschließlich 1.7.20. Solange kein Patch vorliegt, sollten Betreiber den betroffenen REST-Endpunkt über eine Web-Application-Firewall oder Zugriffsregel einschränken beziehungsweise überwachen, das Plugin bei Nichtbedarf deaktivieren und den Changelog des Herstellers beobachten, um die Korrektur nach Verfügbarkeit unverzüglich einzuspielen.

Quellen: National Vulnerability Database — CVE-2026-15335 · CVE-Record — CVE-2026-15335

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.