Plateforme
wordpress
Composant
directorist-booking
Corrigé dans
3.0.2
Une vulnérabilité d'injection SQL a été découverte dans Directorist Booking, affectant les versions de 0.0.0 à 3.0.2. Cette faille permet à un attaquant d'injecter des requêtes SQL malveillantes, compromettant potentiellement la base de données et les informations qu'elle contient. La mise à jour vers la version 3.0.2 corrige cette vulnérabilité et est fortement recommandée.
L'exploitation réussie de cette vulnérabilité d'injection SQL peut permettre à un attaquant d'accéder, de modifier ou de supprimer des données sensibles stockées dans la base de données de Directorist Booking. Cela peut inclure des informations sur les utilisateurs, les réservations, les paiements et d'autres données critiques. Un attaquant pourrait également utiliser cette vulnérabilité pour exécuter des commandes arbitraires sur le serveur, compromettant ainsi l'ensemble du site WordPress. Bien qu'il n'y ait pas d'exemples publics d'exploitation directe de cette vulnérabilité, les injections SQL sont une menace bien connue et largement exploitée, et une exploitation réussie pourrait avoir des conséquences dévastatrices.
Cette vulnérabilité a été publiée le 2026-04-27. Sa sévérité est classée comme CRITIQUE (CVSS 9.3). Il n'y a pas d'indications d'exploitation active à ce jour, ni de mention sur la liste KEV de CISA. La disponibilité d'un correctif rapide indique une faible probabilité d'exploitation à court terme, mais la nature critique de la vulnérabilité justifie une attention immédiate.
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Directorist Booking vers la version 3.0.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des mesures de protection temporaires, telles que la validation stricte de toutes les entrées utilisateur et l'utilisation de requêtes paramétrées pour éviter l'injection SQL. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation. Vérifiez après la mise à jour que la vulnérabilité est bien corrigée en effectuant des tests de pénétration ciblés.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22336 is a critical SQL Injection vulnerability affecting Directorist Booking versions 0.0.0–3.0.2, allowing attackers to inject malicious SQL code and potentially compromise the database.
You are affected if you are using Directorist Booking versions 0.0.0 through 3.0.2. Immediately check your plugin version and upgrade if necessary.
Upgrade Directorist Booking to version 3.0.2 or later. If immediate upgrade is not possible, implement input validation and parameterized queries as temporary mitigations.
There is currently no public evidence of CVE-2026-22336 being actively exploited, but the critical severity warrants immediate attention and remediation.
Refer to the official Directorist Booking website and WordPress plugin repository for the latest security advisory and update information regarding CVE-2026-22336.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.