CVE-2026-6741 in LatePoint Plugin情報

要約

〜によって VulDB • 2026年05月28日

WordPress用の「LatePoint – Calendar Booking Plugin for Appointments and Events」プラグインには、バージョン5.4.1以前において権限昇格の脆弱性が存在します。これは、connect-customer-to-wp-user機能のexecute()メソッドにおいて認可チェックが欠落しているためです。この機能は、デフォルトでlatepoint_agentロールに付与されているcustomer__edit権限のみを必要とし、対象となるWordPressユーザーIDが特権アカウントに属しているかどうかを確認しません。これにより、latepoint_agentロールを持つ認証済み攻撃者は、任意のLatePoint顧客レコードを管理者のWordPressアカウントにリンクし、その後、通常の顧客パスワードリセットフローを通じて管理者のパスワードをリセットすることが可能となり、結果としてサイト全体の乗っ取りにつながります。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

Wordfence

予約する

2026年04月21日

公開

2026年04月27日

モデレーション

承諾済み

エントリ

VDB-359875

CPE

準備完了

CWE

CWE-269 (確認済み)

CVSS

8.8 (CNA)

EPSS

0.00064

KEV

いいえ

アクティビティ

非常低い

セクター

Hostingprovider

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6741
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6741
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6741/

◂ 前概要次 ▸

Do you know our Splunk app?

Download it now for free!