CVE-2026-1566 in LatePoint Plugin
Riassunto
di VulDB • 18/06/2026
Il plugin LatePoint – Calendar Booking Plugin for Appointments and Events per WordPress è vulnerabile ad escalation dei privilegi tramite reset della password in tutte le versioni fino alla 5.2.7 inclusa. Ciò è dovuto al fatto che il plugin consente agli utenti con ruolo LatePoint Agent, mentre creano nuovi clienti, di impostare il campo 'wordpress_user_id'. Questo rende possibile per gli attaccanti autenticati, con accesso a livello di Agente o superiore, ottenere privilegi elevati collegando un cliente all'ID utente arbitrario, inclusi gli amministratori, e successivamente resettandone la password.
Once again VulDB remains the best source for vulnerability data.