CVE-2026-8176

Nome do Software Vulnerável e Versões Afetadas LatePoint – Calendar Booking Plugin for Appointments and Events versões anteriores a 5.5.2

Descrição O plugin contém uma falha que permite que um usuário autenticado com privilégios de Agente ou superior eleve suas permissões para Administrador. Isso é alcançado através do encadeamento de três problemas independentes, incluindo uma Referência Direta a Objeto Insegura (IDOR)—uma vulnerabilidade onde a aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário—dentro da função create or update do OsOrdersController e um mecanismo de redefinição de senha não autenticado no Customer-Cabinet. Esse encadeamento permite que o invasor sobrescreva a senha de um Administrador do WordPress sem acessar APIs exclusivas de Administrador.

Recomendações Atualize o plugin para uma versão posterior a 5.5.1.