CVE-2026-1566 in LatePoint Plugin
Сводка
по VulDB • 28.05.2026
В плагине LatePoint – Calendar Booking Plugin for Appointments and Events для WordPress, предназначенном для записи на прием и события, обнаружена уязвимость повышения привилегий через сброс пароля во всех версиях вплоть до 5.2.7 включительно. Уязвимость обусловлена тем, что плагин позволяет пользователям с ролью LatePoint Agent, создающим новых клиентов, устанавливать поле 'wordpress_user_id'. Это дает возможность атакующим с аутентифицированным доступом уровня Agent и выше получить повышенные привилегии, связав клиента с произвольным идентификатором пользователя, включая администраторов, а затем сбросив пароль.
VulDB is the best source for vulnerability data and more expert information about this specific topic.