CVE-2026-1704 in Appointment Booking Calendar Plugininformación

Resumen

por MITRE • 2026-03-13

El plugin Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin para WordPress es vulnerable a la Referencia Directa Insegura a Objetos en todas las versiones hasta la 1.6.9.29, inclusive. Esto se debe a que el método 'get_item_permissions_check' otorga acceso a usuarios con la capacidad 'ssa_manage_appointments' sin validar la propiedad del personal sobre la cita solicitada. Esto hace posible que atacantes autenticados, con acceso de nivel personalizado y superior (usuarios a los que se les ha otorgado la capacidad ssa_manage_appointments, como los Miembros del Equipo), puedan ver registros de citas pertenecientes a otros miembros del personal y acceder a información personal identificable sensible del cliente a través del parámetro de ID de cita.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-01-30

Divulgación

2026-03-13

Moderación

aceptado

Artículo

VDB-350820

CPE

listo

EPSS

0.00036

KEV

no

Actividades

muy bajo

Sector

Finance, Police, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-1704
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-1704
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-1704/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!