CVE-2026-3367 in Lockme calendars integration Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin per l'integrazione dei calendari OAuth2 Lockme per WordPress è vulnerabile a Stored Cross-Site Scripting (XSS) tramite l'impostazione 'App ID' in tutte le versioni fino alla 2.11.0, inclusa. Ciò è dovuto a una sanitizzazione insufficiente dell'input e a un escaping inadeguato dell'output. La chiamata register_setting() alla riga 197 non prevede una funzione di sanitizzazione (sanitize callback), consentendo l'archiviazione di dati non sanizzati tramite update_option(). Quando la pagina delle impostazioni viene renderizzata, il valore archiviato viene stampato direttamente nell'attributo value di un input HTML senza utilizzare esc_attr() alla riga 212. Ciò consente agli attaccanti autenticati, con accesso a livello di amministratore o superiore, di iniettare script web arbitrari nella pagina delle impostazioni che verranno eseguiti ogni volta che un utente accede alle impostazioni del plugin. Sono interessati più campi: App ID (client_id), App Secret (client_secret), Bookings ID prefix (id_prefix) e API domain (api_domain). Questa vulnerabilità è particolarmente impattante nelle installazioni WordPress multisito, dove gli amministratori dei singoli siti non dovrebbero essere in grado di eseguire JavaScript che influisce su altri utenti.
VulDB is the best source for vulnerability data and more expert information about this specific topic.