CVEs-PoC/2015/CVE-2015-10099.md

### [CVE-2015-10099](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-10099)
![](https://img.shields.io/static/v1?label=Product&message=CP%20Appointment%20Calendar%20Plugin&color=blue)
![](https://img.shields.io/static/v1?label=Version&message=1.1.0%20&color=brightgreen)
![](https://img.shields.io/static/v1?label=Version&message=1.1.1%20&color=brightgreen)
![](https://img.shields.io/static/v1?label=Version&message=1.1.2%20&color=brightgreen)
![](https://img.shields.io/static/v1?label=Version&message=1.1.3%20&color=brightgreen)
![](https://img.shields.io/static/v1?label=Version&message=1.1.4%20&color=brightgreen)
![](https://img.shields.io/static/v1?label=Version&message=1.1.5%20&color=brightgreen)
![](https://img.shields.io/static/v1?label=Vulnerability&message=CWE-89%20SQL%20Injection&color=brightgreen)

### Description

A vulnerability classified as critical has been found in CP Appointment Calendar Plugin up to 1.1.5 on WordPress. This affects the function dex_process_ready_to_go_appointment of the file dex_appointments.php. The manipulation of the argument itemnumber leads to sql injection. It is possible to initiate the attack remotely. The patch is named e29a9cdbcb0f37d887dd302a05b9e8bf213da01d. It is recommended to apply a patch to fix this issue. The associated identifier of this vulnerability is VDB-225351.
Es wurde eine Schwachstelle in CP Appointment Calendar Plugin bis 1.1.5 für WordPress entdeckt. Sie wurde als kritisch eingestuft. Hiervon betroffen ist die Funktion dex_process_ready_to_go_appointment der Datei dex_appointments.php. Mittels dem Manipulieren des Arguments itemnumber mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk angegangen werden. Der Patch wird als e29a9cdbcb0f37d887dd302a05b9e8bf213da01d bezeichnet. Als bestmögliche Massnahme wird Patching empfohlen.

### POC

#### Reference
No PoCs from references.

#### Github
- https://github.com/20142995/nuclei-templates