CVE-2026-4807

Nome do Software Vulnerável e Versões Afetadas Appointment Booking Calendar versões anteriores a 1.6.10.7

Descrição Uma lógica de autorização falha no método nonce permissions check(), combinada com a exposição pública de um nonce reutilizável em todo o site, permite que invasores não autenticados visualizem, excluam ou modifiquem qualquer agendamento. O plugin expõe um valor public nonce através do endpoint '/wp-json/ssa/v1/embed-inner'. Os endpoints de exclusão de agendamentos '/wp-json/ssa/v1/appointments/{id}/delete' e '/wp-json/ssa/v1/appointments/bulk' aceitam requisições contendo um cabeçalho X-WP-Nonce e um cabeçalho X-PUBLIC-Nonce. Se a validação do X-WP-Nonce falhar, o sistema recorre à validação do X-PUBLIC-Nonce sem rejeitar a requisição adequadamente. Como o public nonce está acessível a todos os visitantes e não é específico do usuário, ele pode ser usado para acessar a public edit url ou excluir agendamentos por ID, resultando na divulgação de dados sensíveis e perda de registros de reserva.

Recomendações Atualize para uma versão posterior a 1.6.10.6.