PT-2026-54627 · WordPress · Latepoint

D.V4N_S3C

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-13228

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas LatePoint – Calendar Booking Plugin for Appointments and Events versões anteriores a 5.6.4
Descrição Existe uma Referência Direta a Objeto Insegura (IDOR) na função create or update() do OsOrdersController. Isso permite que um Agente autenticado forneça um order[customer id] arbitrário e sobrescreva o campo de e-mail de qualquer cliente, incluindo aqueles vinculados a contas de Administrador do WordPress, por meio da chamada set data() de escopo público. Devido a uma verificação de função ausente em OsAuthHelper::authorize customer(), o usuário do WordPress vinculado é logado sem a verificação de sua função, permitindo que atacantes com acesso de nível Agente ou superior elevem seus privilégios para Administrador.
Recomendações Atualize o plugin para a versão 5.6.4 ou posterior.

Correção

LPE

Improper Privilege Management

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-13228

Produtos afetados

Latepoint