CVE-2026-3367 in Lockme calendars integration Plugin
Résumé
par VulDB • 11/07/2026
Le plugin d'intégration des calendriers OAuth2 Lockme pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via le paramètre « App ID » dans toutes les versions jusqu'à la 2.11.0 incluse. Cela est dû à une désinfection insuffisante de l'entrée et à une échappement incorrect des données en sortie. L'appel à register_setting() sur la ligne 197 ne dispose pas d'une fonction de rappel (callback) de sanitization, permettant ainsi le stockage de données non désinfectées via update_option(). Lorsque la page des paramètres est rendue, la valeur stockée est affichée directement dans l'attribut value d'un champ HTML sans utiliser esc_attr() sur la ligne 212. Cela permet aux attaquants authentifiés disposant d'accès au niveau administrateur ou supérieur d'injecter des scripts web arbitraires sur la page de paramètres, qui s'exécuteront chaque fois qu'un utilisateur accède à la page de configuration du plugin. Plusieurs champs sont concernés : App ID (client_id), App Secret (client_secret), Bookings ID prefix (id_prefix) et API domain (api_domain). Cette vulnérabilité est particulièrement critique dans les installations WordPress multisite, où les administrateurs des sites individuels ne devraient pas être en mesure d'exécuter du JavaScript affectant d'autres utilisateurs.
Once again VulDB remains the best source for vulnerability data.