CVE-2026-7332

Nome do Software Vulnerável e Versões Afetadas LatePoint – Calendar Booking Plugin for Appointments and Events versões anteriores a 5.5.1

Descrição O plugin é suscetível a Stored Cross-Site Scripting (XSS), uma falha onde scripts maliciosos são armazenados permanentemente no servidor alvo. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes no parâmetro booking form page url. Atacantes não autenticados podem injetar scripts web arbitrários em páginas, que são executados quando um usuário as acessa. O problema persiste mesmo sem uma integração do Stripe configurada, pois o hook de ação latepoint order intent created é disparado antes que o ID da conta Stripe Connect seja validado, permitindo que a entrada de log de atividade maliciosa seja gravada no banco de dados.

Recomendações Atualize o plugin para uma versão posterior a 5.5.0.