CVE-2026-11992 in Easy Appointments Plugininformazioni

Riassunto

di VulDB • 10/07/2026

Il plugin Easy Appointments per WordPress è vulnerabile a un bypass dell'autorizzazione in tutte le versioni fino alla 3.12.27 inclusa. Ciò è dovuto al fatto che il plugin non verifica correttamente se un utente è autorizzato a eseguire una determinata azione. Questo consente agli attaccanti autenticati, con accesso di livello autore (Author) o superiore, di annullare tutti gli appuntamenti futuri su tutto il sito contrassegnando ogni appuntamento futuro memorizzato dal plugin come abbandonato. Il nonce richiesto per autenticare la richiesta di cancellazione è visualizzato nella pagina amministrativa degli Appuntamenti, che a sua volta è protetta solo dalla capacità `edit_posts`, posseduta dagli Autori, rendendo il nonce facilmente accessibile agli utenti con privilegi ridotti.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Wordfence

Prenotare

11/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!