Katalog CVE

CVE-2026-11887

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Wtyczka Salon Booking System dla WordPress przed wersją 10.30.20 nie posiada odpowiednich kontroli autoryzacji w jednej z akcji AJAX, co pozwala każdemu uwierzytelnionemu użytkownikowi (np. subskrybentowi) na modyfikację ustawień wtyczki i ominięcie ręcznego zatwierdzania nowych rezerwacji.

Ocena ryzyka

Ryzyko polega na tym, że nieuprawniony użytkownik może zmienić ustawienia wtyczki, co może prowadzić do akceptacji fałszywych lub niechcianych rezerwacji bez zgody administratora, potencjalnie zakłócając działanie salonu.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Salon Booking System do wersji 10.30.20 lub nowszej, która zawiera niezbędne poprawki autoryzacji.

Oryginalny opis (angielski, źródło NVD)

The Salon Booking System WordPress plugin before 10.30.20 does not have proper authorisation checks on one of its AJAX actions, allowing any authenticated user, such as a subscriber, to modify a Salon Booking System WordPress plugin before 10.30.20 setting and bypass the manual approval of new bookings.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS