CVE-2026-7652 in LatePoint Plugininformation

Résumé

par VulDB • 20/05/2026

Le plugin LatePoint pour WordPress est vulnérable à une prise de contrôle de compte (Account Takeover) via un mécanisme de récupération de mot de passe faible dans le flux de réservation invité non authentifié, dans les versions 5.5.0 et antérieures. Cela est dû à la fonction `save_connected_wordpress_user()` qui propage l'adresse e-mail d'un client LatePoint vers son compte utilisateur WordPress lié via `wp_update_user()`, sans aucune vérification de propriété, combinée à la capacité du flux de réservation invité à écraser l'adresse e-mail d'un client existant via une fusion basée sur le numéro de téléphone, sans authentification. Cela permet aux attaquants non authentifiés d'écraser l'adresse e-mail d'un compte utilisateur WordPress non super-administrateur qui n'est pas encore lié à un client LatePoint, permettant ainsi une prise de contrôle totale du compte en déclenchant ultérieurement le flux standard de réinitialisation de mot de passe WordPress vers l'adresse contrôlée par l'attaquant, à condition que le plugin soit configuré avec l'intégration des utilisateurs WordPress activée, la fusion des contacts basée sur le numéro de téléphone activée, et l'authentification des clients désactivée. Les comptes administrateurs sur les installations en site unique ne sont pas affectés.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

01/05/2026

Divulgation

09/05/2026

Modérer

accepté

Entrée

VDB-362357

CPE

prêt

EPSS

0.00101

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7652
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7652
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7652/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!