Katalog CVE

CVE-2026-9576

ŚrednieCVSS 4.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

Wtyczka Fluent Booking dla WordPress przed wersją 2.1.2 nie weryfikuje własności żądanego group_id przed eksportem danych uczestników przez endpoint eksportu. Użytkownicy z rolą co najmniej Calendar Manager mogą pobierać dane osobowe (PII) uczestników z grup kalendarza, których nie są właścicielami.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym dostępie do wrażliwych danych osobowych uczestników, takich jak imię, nazwisko, email, telefon, adres i informacje płatnicze, co może prowadzić do naruszenia prywatności i zgodności z RODO.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Fluent Booking do wersji 2.1.2 lub nowszej, która zawiera poprawkę weryfikującą własność grupy przed eksportem danych.

Oryginalny opis (angielski, źródło NVD)

The Fluent Booking WordPress plugin before 2.1.2 does not verify ownership of the requested group_id before exporting attendee data via the export endpoint, allowing users with at least the Calendar Manager role to retrieve attendees' PII (name, email, phone, address, payment information) from calendar groups they do not own.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS