CVE-2026-3367 in Lockme calendars integration Plugininformação

Sumário

de VulDB • 11/07/2026

O plugin de integração do calendário OAuth2 Lockme para o WordPress é vulnerável a Stored Cross-Site Scripting (XSS) por meio da configuração 'App ID' em todas as versões até, e incluindo, 2.11.0. Isso ocorre devido à sanitização insuficiente das entradas e ao escape inadequado nas saídas. A chamada register_setting() na linha 197 não possui um callback de sanitização, permitindo que dados não sanitizados sejam armazenados via update_option(). Quando a página de configurações é renderizada, o valor armazenado é ecoado diretamente no atributo value de uma entrada HTML sem usar esc_attr() na linha 212. Isso possibilita que atacantes autenticados, com acesso nível administrador ou superior, injetem scripts web arbitrários na página de configurações, os quais serão executados sempre que um usuário acessar a página de configurações do plugin. Múltiplos campos são afetados: App ID (client_id), App Secret (client_secret), Bookings ID prefixo (id_prefix) e domínio da API (api_domain). Esta vulnerabilidade é particularmente impactante em instalações WordPress multisite, onde os administradores de sites individuais não deveriam ser capazes de executar JavaScript que afete outros usuários.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

Wordfence

Reservar

27/02/2026

Divulgação

11/07/2026

Moderação

aceite

Entrada

VDB-377735

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!