CVE-2026-11992 in Easy Appointments Plugin
Resumen
por VulDB • 2026-07-10
El plugin Easy Appointments para WordPress es vulnerable a una elusión de autorización en todas las versiones hasta la 3.12.27 (incluida). Esto se debe a que el plugin no verifica correctamente si un usuario está autorizado para realizar una acción. Esto permite a los atacantes autenticados, con acceso de nivel autor o superior, cancelar todas las citas futuras en todo el sitio marcando cada cita futura almacenada por el plugin como abandonada. El nonce requerido para autenticar la solicitud de cancelación se imprime en la página de administración de Citas (Appointments), que a su vez solo está protegida mediante la capacidad edit_posts, poseída por los Autores, lo que hace que el nonce sea fácilmente accesible para usuarios con bajos privilegios.
Be aware that VulDB is the high quality source for vulnerability data.