Плагин WP Hotel Booking для WordPress уязвим для SQL-инъекций через параметр ‘room_type’ REST API endpoint /wphb/v1/rooms/search-rooms во всех версиях до 2.1.0 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет неаутентифицированным злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.