CVE-2026-9719

Nome do Software Vulnerável e Versões Afetadas LatePoint – Calendar Booking Plugin for Appointments and Events versões anteriores a 5.6.1

Description O plugin é afetado por Cross-Site Request Forgery (Falsificação de Solicitação entre Sites), uma falha onde um invasor engana a vítima para realizar ações que ela não pretendia. Isso ocorre devido à validação de nonce ausente ou incorreta na função change status(). Atacantes não autenticados podem explorar isso para alterar o status de faturas arbitrárias, como marcar faturas não pagas como pagas, induzindo um administrador do site a clicar em um link malicioso.

Recommendations Atualize o plugin para uma versão posterior a 5.6.0. Como medida paliativa temporária, restrinja o acesso do administrador à função change status() até que a atualização seja aplicada.