CVE-2026-3367 in Lockme calendars integration Plugininformazioni

Riassunto

di VulDB • 11/07/2026

Il plugin per l'integrazione dei calendari OAuth2 Lockme per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite l'impostazione 'App ID' in tutte le versioni fino alla 2.11.0, inclusa. Ciò è dovuto a una sanitizzazione insufficiente dell'input e a un escaping inadeguato dell'output. La chiamata register_setting() alla riga 197 non prevede una funzione di sanitizzazione (sanitize callback), consentendo l'archiviazione di dati non sanizzati tramite update_option(). Quando la pagina delle impostazioni viene renderizzata, il valore archiviato viene stampato direttamente nell'attributo value di un input HTML senza utilizzare esc_attr() alla riga 212. Ciò consente agli attaccanti autenticati, con accesso a livello di amministratore o superiore, di iniettare script web arbitrari nella pagina delle impostazioni che verranno eseguiti ogni volta che un utente accede alle impostazioni del plugin. Sono interessati più campi: App ID (client_id), App Secret (client_secret), Bookings ID prefix (id_prefix) e API domain (api_domain). Questa vulnerabilità è particolarmente impattante nelle installazioni WordPress multisito, dove gli amministratori dei singoli siti non dovrebbero essere in grado di eseguire JavaScript che influisce su altri utenti.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

Wordfence

Prenotare

27/02/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!