WordPress · Latepoint · CVE-2026-6741
**Nome do Software Vulnerável e Versões Afetadas**
LatePoint – Calendar Booking Plugin for Appointments and Events versões anteriores a 5.4.2
**Descrição**
Um problema de escalonamento de privilégios existe devido a uma verificação de autorização ausente na função `execute()` da habilidade connect-customer-to-wp-user. O sistema requer apenas a capacidade `customer edit`, concedida à função `latepoint agent` por padrão, mas não verifica se o ID do usuário do WordPress alvo pertence a uma conta privilegiada. Isso permite que atacantes autenticados com a função `latepoint agent` vinculem um registro de cliente LatePoint a uma conta de administrador e redefinam a senha do administrador por meio do processo normal de redefinição de senha de cliente, resultando no controle total do site.
**Recomendações**
Atualize o plugin para uma versão posterior a 5.4.1.