CVE-2026-12113
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Wtyczka Appointment Booking Calendar dla WordPressa do wersji 1.4.02 włącznie ujawnia wrażliwe dane poprzez parametr cpabc_appointments_filter_list. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wyodrębnienie danych osobowych klientów, takich jak imiona, adresy e-mail, numery telefonów, komentarze do rezerwacji i inne informacje umożliwiające identyfikację.
Ocena ryzyka
Organizacja narażona jest na wyciek danych osobowych klientów, co może prowadzić do naruszenia przepisów o ochronie danych (np. RODO), utraty zaufania klientów oraz potencjalnych konsekwencji prawnych i finansowych.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Appointment Booking Calendar do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz wtyczkę lub ogranicz dostęp do funkcji cpabc_appointments_filter_list tylko dla zaufanych administratorów.
Oryginalny opis (angielski, źródło NVD)
The Appointment Booking Calendar plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 1.4.02 via the cpabc_appointments_filter_list. This makes it possible for authenticated attackers, with contributor-level access and above, to extract customer names, email addresses, phone numbers, appointment comments, and other booking personally identifiable information.

