بهتازگی یک آسیبپذیری با شناسه CVE-2024-1207 و شدت ۹.۸ در WP Booking Calendar کشف شده است که منجر به SQLi میشود. مهاجم با استفاده از پارامتر calendar_request_params[dates_ddmmyy_csv] میتواند دستورات مدنظر خود را اجرا کرده و اطلاعات حساسی را از پایگاه داده استخراج و از آن ها استفاده کند.
محصولات تحتتأثیر
نسخه های 9.9 و قبلتر WP Booking Calendar آسیبپذیر هستند.
توصیههای امنیتی
با اعمال بهروزرسانی به نسخه 9.9.1 این آسیبپذیری رفع میشود.
منبع خبر:
- 23