CVE-2026-4807 in Appointment Booking Calendar Plugin
요약
\~에 의해 VulDB • 2026. 05. 10.
WordPress용 Appointment Booking Calendar 플러그인 1.6.10.6 이하 버전에서는 누락된 권한 확인(Missing Authorization) 취약점이 존재합니다. 이는 nonce_permissions_check() 메서드의 결함이 있는 권한 확인 로직과 사이트 전체에서 재사용 가능한 nonce의 공개적 노출로 인해 발생합니다. 플러그인은 /wp-json/ssa/v1/embed-inner 엔드포인트를 통해 public_nonce 값을 노출하며, 이는 인증되지 않은 사용자도 접근할 수 있습니다. /wp-json/ssa/v1/appointments/{id}/delete 및 /wp-json/ssa/v1/appointments/bulk의 예약 삭제 엔드포인트는 X-WP-Nonce 헤더(임의의 값 포함)와 X-PUBLIC-Nonce 헤더(유효한 공개 nonce 포함)를 모두 포함하는 요청을 허용하는 권한 확인을 사용합니다. X-WP-Nonce 검증이 실패하면 함수는 요청을 적절히 거부하지 않고 X-PUBLIC-Nonce 검증으로 폴백됩니다. public_nonce는 모든 인증되지 않은 방문자에게 공개되며 사이트 전체 범위(사용자별 또는 예약별 고유 값 아님)이므로, 공격자는 이를 획득하여 임의의 예약 세부 정보(공개 편집 URL 포함)를 조회하거나 ID를 통해 임의의 예약을 삭제하는 데 사용할 수 있습니다. 이로 인해 인증되지 않은 공격자가 시스템 내 임의의 예약을 조회, 삭제 또는 수정할 수 있게 되어 민감한 예약 데이터가 유출되고, 서비스 중단 및 예약 기록 손실이 발생할 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.