Kostenlos scannen
Analyse ausstehendCVE-2026-1719

CVE-2026-1719: SQL Injection in Gravity Bookings

Plattform

wordpress

Komponente

gf-bookings-premium

Behoben in

2.6

Auf NVD ansehen
Speichern

CVE-2026-1719 describes a SQL Injection vulnerability discovered in Gravity Bookings Premium, a plugin for WordPress. This flaw allows unauthenticated attackers to inject malicious SQL queries, potentially leading to unauthorized data extraction. The vulnerability affects versions of Gravity Bookings Premium up to and including 2.5.9. A fix is available in version 2.6.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarienwird übersetzt…

Successful exploitation of CVE-2026-1719 could allow an attacker to bypass authentication and directly query the WordPress database. This could result in the theft of sensitive information such as user credentials (usernames and passwords), customer data (names, addresses, payment information), booking details, and potentially even administrative configurations. The attacker could also modify or delete data within the database, leading to data integrity issues and service disruption. Given the widespread use of WordPress and Gravity Bookings, a successful attack could have a significant blast radius, impacting numerous websites and their users.

Ausnutzungskontextwird übersetzt…

CVE-2026-1719 was published on May 5, 2026. Severity is currently assessed as HIGH (CVSS 7.5). Public proof-of-concept (POC) code is likely to emerge given the ease of SQL injection exploitation. While no active campaigns have been publicly reported as of this writing, the vulnerability's ease of exploitation makes it a potential target for automated scanning and exploitation tools. Monitor security advisories and threat intelligence feeds for any indications of active exploitation.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

EPSS

0.08% (24% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbaryes
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Keine — kein Integritätseinfluss.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentegf-bookings-premium
Herstellerwordfence
Höchstversion2.5.9
Behoben in2.6

Schwachstellen-Klassifikation (CWE)

CWE-89

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workaroundswird übersetzt…

The primary mitigation for CVE-2026-1719 is to immediately upgrade Gravity Bookings Premium to version 2.6 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider implementing a Web Application Firewall (WAF) rule to filter out potentially malicious SQL injection attempts targeting the vulnerable parameter. Specifically, look for unusual characters or SQL keywords in user input. Additionally, review and harden database user permissions to limit the potential damage from a successful injection. After upgrading, verify the fix by attempting a SQL injection attack on the vulnerable endpoint and confirming that the attack is blocked.

So beheben

Aktualisieren Sie auf Version 2.6 oder eine neuere gepatchte Version

Häufig gestellte Fragenwird übersetzt…

What is CVE-2026-1719 — SQL Injection in Gravity Bookings?

CVE-2026-1719 is a SQL Injection vulnerability affecting Gravity Bookings Premium for WordPress versions up to 2.5.9. It allows attackers to inject malicious SQL code to extract sensitive data from the database.

Am I affected by CVE-2026-1719 in Gravity Bookings?

You are affected if you are using Gravity Bookings Premium for WordPress version 2.5.9 or earlier. Check your plugin version using wp plugin list.

How do I fix CVE-2026-1719 in Gravity Bookings?

Upgrade Gravity Bookings Premium to version 2.6 or later. If immediate upgrade is not possible, implement WAF rules to filter SQL injection attempts.

Is CVE-2026-1719 being actively exploited?

While no active campaigns have been publicly reported, the vulnerability's ease of exploitation makes it a potential target. Monitor security advisories and threat intelligence feeds.

Where can I find the official Gravity Bookings advisory for CVE-2026-1719?

Refer to the official Gravity Bookings website and WordPress plugin repository for the latest security updates and advisories related to CVE-2026-1719.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen
liveKostenloser Scan

Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...