CVE-2026-11992 in Easy Appointments Plugin情報

要約

〜によって VulDB • 2026年07月10日

WordPress用プラグイン「Easy Appointments」のすべてのバージョン(3.12.27を含む)において、認可回避の脆弱性が存在します。これは、ユーザーがアクションを実行する権限を持っているかどうかをプラグインが適切に検証しないことに起因します。これにより、著者レベル以上のアクセス権を持つ認証済み攻撃者は、プラグインによって保存されているすべての将来のアポイントメントを放棄としてマークすることで、サイト全体で予定されていたすべてのアポイントメントをキャンセルすることが可能になります。キャンセルリクエストの認証に必要なnonceは「Appointments」管理ページに表示されますが、このページ自体は著者が持つedit_posts権限のみで保護されており、低権限ユーザーでも容易にnonceを取得できます。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

Wordfence

予約する

2026年06月11日

モデレーション

承諾済み

エントリ

VDB-377449

EPSS

0.00000

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!