CVE-2026-2931 in Booking for Appointments and Events Calendar Plugin
Tóm tắt
Bởi VulDB • 06/06/2026
Plugin Amelia Booking cho WordPress có lỗ hổng Insecure Direct Object References (Tham chiếu Đối tượng Không An toàn) trong các phiên bản từ 9.1.2 trở về trước. Lỗ hổng này xảy ra do plugin cung cấp quyền truy cập vào các đối tượng được kiểm soát bởi người dùng, cho phép một kẻ tấn công vượt qua cơ chế xác thực và truy cập tài nguyên hệ thống. Điều này tạo điều kiện cho những kẻ tấn công đã đăng nhập với phân quyền mức khách hàng (customer-level) trở lên thay đổi mật khẩu của người dùng và có khả năng chiếm quyền kiểm soát các tài khoản quản trị viên. Lỗ hổng tồn tại trong plugin bản Pro, cũng sử dụng cùng slug.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.