CVE-2026-6937 in Appointment Booking Calendar Plugininfo

Zusammenfassung

von VulDB • 31.05.2026

Das WordPress-Plugin „Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin" ist in allen Versionen bis einschließlich 1.6.11.8 anfällig für Missing Authorization (fehlende Autorisierung), da das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer berechtigt ist, eine Aktion über den REST-API-Endpunkt für Massenbuchungen durchzuführen. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Buchungsdatensätze zu ändern, einschließlich Kunden-PII (Personally Identifiable Information), Zahlungsstatus und Meeting-URL-Feldern, sowie vollständige Kunden-PII aus bestehenden Buchungsdatensätzen über die Antwort des Massenendpunkts offenzulegen. Der öffentliche Nonce ist ein statischer, benutzerunabhängiger Wert, der im HTML-Quellcode jeder Seite vorhanden ist, die den [ssa_booking]-Shortcode hostet, was bedeutet, dass jeder Besucher, der eine solche Seite angesehen hat, ihn erhalten und jeden Termin im System ohne Authentifizierung angreifen kann.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

23.04.2026

Veröffentlichung

28.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366731

CPE

bereit

EPSS

0.00212

KEV

nein

Aktivitäten

low

Sektor

Police, Transportation, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6937
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6937
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6937/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!