CVE-2026-12657
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 47 — wyżej niż 47% wszystkich znanych CVE
Streszczenie
Wtyczka LatePoint do WordPressa do wersji 5.6.2 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'service_id'. Brak walidacji kontrolowanego przez użytkownika klucza umożliwia nieuwierzytelnionym atakującym tworzenie zatwierdzonych rezerwacji na usługi przeznaczone wyłącznie dla administratorów i agentów.
Ocena ryzyka
Organizacja narażona jest na wyczerpanie limitów rezerwacji dla zastrzeżonych usług oraz nieautoryzowane rezerwacje, co może prowadzić do chaosu w harmonogramie i utraty zaufania klientów.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę LatePoint do najnowszej dostępnej wersji, która usuwa tę podatność, oraz zweryfikować, czy nie doszło do nieautoryzowanych rezerwacji.
Oryginalny opis (angielski, źródło NVD)
The LatePoint – Calendar Booking Plugin for Appointments and Events plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 5.6.2 via the 'service_id' parameter due to missing validation on a user controlled key. This makes it possible for unauthenticated attackers to create approved bookings against services explicitly restricted to admins and agents, consuming restricted appointment capacity and triggering unauthorized bookings for admin/agent-only services. The bypass works via both the params[booking][service_id] parameter in steps__load_step and the presets[selected_service] parameter in steps__start, both of which are publicly accessible without authentication.

