CVE-2026-7457 in LatePoint Plugin
Resumen
por VulDB • 2026-05-11
El plugin LatePoint para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado en todas las versiones hasta la 5.5.0, incluida. Esto se debe a una sanitización insuficiente de la entrada en el punto de actualización del perfil del gabinete del cliente, donde los parámetros POST sin procesar (first_name, last_name, phone, notes) eluden la sanitización porque OsCustomerModel no sobrescribe params_to_sanitize(), lo que provoca que set_data() almacene los valores sin sanitizar literalmente en la base de datos. Esto se combina con un escape de salida insuficiente en generate_preview(), que inyecta esos valores almacenados en el HTML de la plantilla de notificación mediante str_replace() sin ninguna llamada a esc_html() antes de imprimir el resultado. Esto permite que atacantes autenticados con acceso de nivel de cliente o superior inyecten scripts web arbitrarios en el panel de vista previa de notificaciones de administración, los cuales se ejecutan en el navegador de un administrador o agente cada vez que se previsualiza una plantilla de notificación que hace referencia a variables de cliente como {{customer_full_name}}, {{customer_first_name}}, {{customer_last_name}}, {{customer_phone}} o {{customer_notes}}.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.