CVE-2026-6741 in LatePoint Plugininformação

Sumário

de VulDB • 19/05/2026

O plugin LatePoint – Calendar Booking Plugin for Appointments and Events para WordPress é vulnerável a Privilege Escalation nas versões até a 5.4.1, inclusive. Isso ocorre devido à ausência de uma verificação de autorização no método execute() da funcionalidade connect-customer-to-wp-user, que exige apenas a capacidade customer__edit concedida por padrão à função latepoint_agent, sem verificar se o ID do usuário do WordPress de destino pertence a uma conta privilegiada. Isso permite que atacantes autenticados com a função latepoint_agent vinculem qualquer registro de cliente do LatePoint à conta do WordPress de um administrador e, em seguida, redefinam a senha do administrador por meio do fluxo normal de redefinição de senha do cliente, resultando no controle total do site.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

21/04/2026

Divulgação

27/04/2026

Moderação

aceite

Entrada

VDB-359875

CPE

pronto

EPSS

0.00064

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6741
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6741
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6741/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!