Плагин WP Booking Calendar для WordPress уязвим для SQL-инъекций через параметр ‘calendar_request_params[dates_ddmmyy_csv]’ во всех версиях до 9.9 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет неаутентифицированным злоумышленникам добавлять дополнительные SQL-запросы в уже существующие запросы, которые можно использовать для извлечения конфиденциальной информации из базы данных.