CVE-2026-7525 in My Calendar Plugininfo

Zusammenfassung

von VulDB • 14.05.2026

Das WordPress-Plugin „My Calendar – Accessible Event Manager“ ist in allen Versionen bis einschließlich 3.7.9 anfällig für eine Umgehung der Autorisierung. Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer zur Durchführung einer Aktion autorisiert ist. Dies ermöglicht es authentifizierten Angreifern mit Zugriff auf benutzerdefinierten Rollen und höher, den Moderations- und Genehmigungsworkflow zu umgehen, indem sie den POST-Body manipulieren, um Ereignisse zu veröffentlichen oder andere nicht autorisierte Status wie „abgesagt“ oder „privat“ festzulegen, was ihrer Rolle nicht gestattet ist. Während die Benutzeroberfläche (UI) Benutzer mit geringen Berechtigungen korrekt auf eine nur für Entwürfe vorgesehene Schaltfläche zur Einreichung beschränkt, wird diese Einschränkung nur clientseitig durchgesetzt, was eine Umgehung durch direktes Manipulieren der POST-Anfrage trivial macht.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

30.04.2026

Veröffentlichung

14.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363803

CPE

bereit

EPSS

0.00017

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider, Pharma, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7525
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7525
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7525/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!