CVE-2026-9576
ŚrednieCVSS 4.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Wtyczka Fluent Booking dla WordPress przed wersją 2.1.2 nie weryfikuje własności żądanego group_id przed eksportem danych uczestników przez endpoint eksportu. Użytkownicy z rolą co najmniej Calendar Manager mogą pobierać dane osobowe (PII) uczestników z grup kalendarza, których nie są właścicielami.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym dostępie do wrażliwych danych osobowych uczestników, takich jak imię, nazwisko, email, telefon, adres i informacje płatnicze, co może prowadzić do naruszenia prywatności i zgodności z RODO.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Fluent Booking do wersji 2.1.2 lub nowszej, która zawiera poprawkę weryfikującą własność grupy przed eksportem danych.
Oryginalny opis (angielski, źródło NVD)
The Fluent Booking WordPress plugin before 2.1.2 does not verify ownership of the requested group_id before exporting attendee data via the export endpoint, allowing users with at least the Calendar Manager role to retrieve attendees' PII (name, email, phone, address, payment information) from calendar groups they do not own.

