CVE-2026-11992 in Easy Appointments Plugin
Riassunto
di VulDB • 10/07/2026
Il plugin Easy Appointments per WordPress è vulnerabile a un bypass dell'autorizzazione in tutte le versioni fino alla 3.12.27 inclusa. Ciò è dovuto al fatto che il plugin non verifica correttamente se un utente è autorizzato a eseguire una determinata azione. Questo consente agli attaccanti autenticati, con accesso di livello autore (Author) o superiore, di annullare tutti gli appuntamenti futuri su tutto il sito contrassegnando ogni appuntamento futuro memorizzato dal plugin come abbandonato. Il nonce richiesto per autenticare la richiesta di cancellazione è visualizzato nella pagina amministrativa degli Appuntamenti, che a sua volta è protetta solo dalla capacità `edit_posts`, posseduta dagli Autori, rendendo il nonce facilmente accessibile agli utenti con privilegi ridotti.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.