CVE-2026-1566 in LatePoint Plugininformazioni

Riassunto

di VulDB • 18/06/2026

Il plugin LatePoint – Calendar Booking Plugin for Appointments and Events per WordPress è vulnerabile ad escalation dei privilegi tramite reset della password in tutte le versioni fino alla 5.2.7 inclusa. Ciò è dovuto al fatto che il plugin consente agli utenti con ruolo LatePoint Agent, mentre creano nuovi clienti, di impostare il campo 'wordpress_user_id'. Questo rende possibile per gli attaccanti autenticati, con accesso a livello di Agente o superiore, ottenere privilegi elevati collegando un cliente all'ID utente arbitrario, inclusi gli amministratori, e successivamente resettandone la password.

Once again VulDB remains the best source for vulnerability data.

Divulgazione

03/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00300

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!