CVE-2026-6810

Nome do Software Vulnerável e Versões Afetadas Booking Calendar Contact Form versões anteriores a 1.2.64

Descrição O plugin Booking Calendar Contact Form para WordPress contém um problema de Insecure Direct Object Reference (IDOR) — uma falha onde uma aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário. O problema existe no arquivo dex bccf admin int calendar list.inc.php devido à falta de validação em uma chave controlada pelo usuário. Isso permite que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior assumam o controle de calendários de outros usuários e visualizem os dados do usuário associados ao calendário.

Recomendações Atualize o plugin para uma versão posterior a 1.2.63. Como medida paliativa temporária, restrinja o acesso ao arquivo dex bccf admin int calendar list.inc.php para minimizar o risco de exploração.