Plataforma
wordpress
Componente
directorist-booking
Corrigido em
3.0.2
A vulnerabilidade CVE-2026-22336 é uma falha de SQL Injection identificada no plugin Directorist Booking. Essa falha permite que atacantes injetem código SQL malicioso, comprometendo a integridade dos dados armazenados. O problema afeta versões do plugin Directorist Booking entre 0.0.0 e 3.0.2. A correção para essa vulnerabilidade foi lançada na versão 3.0.2.
Um atacante explorando com sucesso essa vulnerabilidade de SQL Injection pode obter acesso não autorizado a dados sensíveis armazenados no banco de dados do WordPress. Isso pode incluir informações de usuários, detalhes de reservas, dados financeiros e outras informações confidenciais. Além disso, dependendo das permissões do usuário do banco de dados, um atacante pode ser capaz de modificar ou excluir dados, causando interrupções significativas no serviço. A exploração bem-sucedida pode levar à exfiltração de dados, modificação de dados e até mesmo à tomada de controle do servidor WordPress.
A vulnerabilidade CVE-2026-22336 foi divulgada em 2026-04-27. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de uma vulnerabilidade de SQL Injection com pontuação CVSS Crítica indica um risco significativo, e a ausência de um patch imediato pode torná-la um alvo atraente para atacantes.
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-22336 é atualizar o plugin Directorist Booking para a versão 3.0.2 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir as permissões do usuário do banco de dados para limitar o impacto potencial de uma exploração bem-sucedida. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de injeção de SQL também pode ajudar a mitigar o risco. Monitore os logs do WordPress e do banco de dados em busca de atividades suspeitas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22336 is a critical SQL Injection vulnerability affecting Directorist Booking versions 0.0.0–3.0.2, allowing attackers to inject malicious SQL code and potentially compromise the database.
You are affected if you are using Directorist Booking versions 0.0.0 through 3.0.2. Immediately check your plugin version and upgrade if necessary.
Upgrade Directorist Booking to version 3.0.2 or later. If immediate upgrade is not possible, implement input validation and parameterized queries as temporary mitigations.
There is currently no public evidence of CVE-2026-22336 being actively exploited, but the critical severity warrants immediate attention and remediation.
Refer to the official Directorist Booking website and WordPress plugin repository for the latest security advisory and update information regarding CVE-2026-22336.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.