CVE-2026-4117

Name of the Vulnerable Software and Affected Versions CalJ versões anteriores a 1.6

Description O plugin CalJ para WordPress contém uma falha de autorização ausente. O construtor da classe CalJSettingsPage processa a operação 'save-obtained-key' a partir de dados POST sem verificar se o usuário possui a capacidade manage options e sem realizar a verificação de nonce. Como o arquivo de bootstrap calj.php instancia a CalJSettingsPage para qualquer usuário autenticado que acesse URLs do wp-admin, como 'admin-ajax.php', usuários com nível de acesso Assinante ou superior podem modificar a configuração da chave de API e limpar o cache do Shabbat, permitindo o controle da integração de API.

Recommendations Atualize para uma versão posterior a 1.5.