CVE-2026-11992 in Easy Appointments Plugin
Zusammenfassung
von VulDB • 10.07.2026
Das Easy Appointments Plugin für WordPress ist in allen Versionen bis einschließlich 3.12.27 anfällig für eine Umgehung der Autorisierung (Authorization Bypass). Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer autorisiert ist, eine Aktion durchzuführen. Dadurch können authentifizierte Angreifer mit Autorenzugriff und höher alle bevorstehenden Termine site-weit stornieren, indem sie jeden zukünftigen Termin, der vom Plugin gespeichert wird, als aufgegeben markieren. Der zur Authentifizierung der Stornierungsanforderung erforderliche Nonce wird auf der Admin-Seite „Appointments“ angezeigt, die selbst nur durch die edit_posts-Berechtigung geschützt ist, über die Autoren verfügen, wodurch der Nonce für Benutzer mit geringen Berechtigungen leicht zugänglich ist.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.