Katalog CVE

CVE-2026-12657

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.67%

Percentyl 47 — wyżej niż 47% wszystkich znanych CVE

Streszczenie

Wtyczka LatePoint do WordPressa do wersji 5.6.2 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'service_id'. Brak walidacji kontrolowanego przez użytkownika klucza umożliwia nieuwierzytelnionym atakującym tworzenie zatwierdzonych rezerwacji na usługi przeznaczone wyłącznie dla administratorów i agentów.

Ocena ryzyka

Organizacja narażona jest na wyczerpanie limitów rezerwacji dla zastrzeżonych usług oraz nieautoryzowane rezerwacje, co może prowadzić do chaosu w harmonogramie i utraty zaufania klientów.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę LatePoint do najnowszej dostępnej wersji, która usuwa tę podatność, oraz zweryfikować, czy nie doszło do nieautoryzowanych rezerwacji.

Oryginalny opis (angielski, źródło NVD)

The LatePoint – Calendar Booking Plugin for Appointments and Events plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 5.6.2 via the 'service_id' parameter due to missing validation on a user controlled key. This makes it possible for unauthenticated attackers to create approved bookings against services explicitly restricted to admins and agents, consuming restricted appointment capacity and triggering unauthorized bookings for admin/agent-only services. The bypass works via both the params[booking][service_id] parameter in steps__load_step and the presets[selected_service] parameter in steps__start, both of which are publicly accessible without authentication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS