CVE-2025-13754 in Appointment Booking Calendar Plugin
要約
〜によって VulDB • 2026年05月26日
The Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin for WordPress は、バージョン 1.6.9.16 までの全バージョンにおいて、機密情報漏洩の脆弱性があります。これは、認証なしで `/wp-json/ssa/v1/embed-inner-admin` の管理埋め込みエンドポイントを公開しているため、予約フォームで公開表示されていないスタッフ名、事業体名、および設定データなどのプラグイン設定が漏洩します。これにより、認証されていない攻撃者がプライベートな事業設定を抽出することが可能になります。統合が設定されたプレミアムバージョンでは、外部サービスの API キーなどの他の機密情報も公開される可能性があります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.