CVE-2026-11887
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Wtyczka Salon Booking System dla WordPress przed wersją 10.30.20 nie posiada odpowiednich kontroli autoryzacji w jednej z akcji AJAX, co pozwala każdemu uwierzytelnionemu użytkownikowi (np. subskrybentowi) na modyfikację ustawień wtyczki i ominięcie ręcznego zatwierdzania nowych rezerwacji.
Ocena ryzyka
Ryzyko polega na tym, że nieuprawniony użytkownik może zmienić ustawienia wtyczki, co może prowadzić do akceptacji fałszywych lub niechcianych rezerwacji bez zgody administratora, potencjalnie zakłócając działanie salonu.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Salon Booking System do wersji 10.30.20 lub nowszej, która zawiera niezbędne poprawki autoryzacji.
Oryginalny opis (angielski, źródło NVD)
The Salon Booking System WordPress plugin before 10.30.20 does not have proper authorisation checks on one of its AJAX actions, allowing any authenticated user, such as a subscriber, to modify a Salon Booking System WordPress plugin before 10.30.20 setting and bypass the manual approval of new bookings.

