CVE-2026-7332 in LatePoint PluginИнформация

Сводка

по VulDB • 13.05.2026

В плагине LatePoint – Calendar Booking Plugin for Appointments and Events для WordPress уязвимость к Stored Cross-Site Scripting (XSS) через параметр 'booking_form_page_url' присутствует во всех версиях вплоть до 5.5.0 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты в страницы, которые будут выполняться при каждом обращении пользователя к внедренной странице. Запись о вредоносной активности в журнале записывается в базу данных даже в том случае, если Stripe не настроен, поскольку хук действия latepoint_order_intent_created срабатывает до проверки идентификатора учетной записи Stripe Connect, что означает, что для эксплуатации не требуется полностью функциональная интеграция со Stripe.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

28.04.2026

Раскрытие

06.05.2026

Модерация

принято

Вход

VDB-361286

EPSS

0.00215

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7332
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7332
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7332/

ПредыдущийОбзорДалее

Want to know what is going to be exploited?

We predict KEV entries!