CVE-2026-6741

Nome do Software Vulnerável e Versões Afetadas LatePoint – Calendar Booking Plugin for Appointments and Events versões anteriores a 5.4.2

Descrição Um problema de escalonamento de privilégios existe devido a uma verificação de autorização ausente na função execute() da habilidade connect-customer-to-wp-user. O sistema requer apenas a capacidade customer edit, concedida à função latepoint agent por padrão, mas não verifica se o ID do usuário do WordPress alvo pertence a uma conta privilegiada. Isso permite que atacantes autenticados com a função latepoint agent vinculem um registro de cliente LatePoint a uma conta de administrador e redefinam a senha do administrador por meio do processo normal de redefinição de senha de cliente, resultando no controle total do site.

Recomendações Atualize o plugin para uma versão posterior a 5.4.1.