CVE-2026-11896
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
Wtyczka My Calendar – Accessible Event Manager dla WordPressa do wersji 3.7.14 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'vcal'. Brak walidacji klucza kontrolowanego przez użytkownika umożliwia nieuwierzytelnionym atakującym enumerację identyfikatorów zdarzeń i dostęp do pełnego eksportu iCalendar niepublicznych, szkicowych, usuniętych i prywatnych wydarzeń kalendarza.
Ocena ryzyka
Organizacja narażona jest na ujawnienie wrażliwych metadanych zdarzeń, takich jak tytuły, opisy, daty, lokalizacje, dane organizatora i gospodarza, linki bezpośrednie oraz powiązane metadane kalendarza, co może prowadzić do naruszenia prywatności i wycieku informacji.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę My Calendar – Accessible Event Manager do najnowszej dostępnej wersji, która usuwa tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do parametru 'vcal' za pomocą zapory aplikacyjnej (WAF) lub reguł serwera.
Oryginalny opis (angielski, źródło NVD)
The My Calendar – Accessible Event Manager plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 3.7.14 via the 'vcal' parameter due to missing validation on a user controlled key. This makes it possible for unauthenticated attackers to enumerate occurrence IDs and access the full iCalendar export of non-public, draft, trashed, and personal calendar events, disclosing sensitive event metadata including titles, descriptions, dates, locations, organizer and host details, permalinks, and related calendar metadata.

