CVE-2026-7493

Nome do Software Vulnerável e Versões Afetadas Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin versões anteriores a 1.6.11.6

Descrição O plugin para WordPress está suscetível a uma negação de serviço. Um invasor não autenticado pode esgotar os processos de trabalho do PHP, impedindo que usuários legítimos acessem o site. Isso ocorre porque o endpoint da REST API "/wp-json/ssa/v1/async" invoca a função sleep() do PHP usando um parâmetro delay fornecido pelo usuário sem implementar a limitação de taxa (rate limiting).

Recomendações Atualize para uma versão posterior a 1.6.11.5. Como medida paliativa temporária, restrinja o acesso ao endpoint "/wp-json/ssa/v1/async" para minimizar o risco de exploração.