Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-13228
CVSS 8.8 — ALTO

CVE-2026-13228: Vulnerabilità di escalazione dei privilegi in LatePoint

Pubblicato il 2026-07-01 · Fonte: NVD NIST

CVE ID
CVE-2026-13228
CVSS Score
8.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-13228 è una vulnerabilità di escalazione dei privilegi presente nel plugin LatePoint – Calendar Booking per WordPress. Questa vulnerabilità è causata da un Insecure Direct Object Reference (IDOR) nella funzione create_or_update() di OsOrdersController, che consente a un utente autenticato con accesso di tipo Agent di sovrascrivere il campo email di qualsiasi cliente LatePoint, compresi quelli collegati a un account amministratore di WordPress. La mancanza di verifica del ruolo in OsAuthHelper::authorize_customer() consente inoltre di accedere all'account dell'utente collegato senza controllare il suo ruolo. Ciò rende possibile per gli attaccanti autenticati con accesso personalizzato (Agent) o superiore di elevare i propri privilegi a quelli di amministratore.

Impatto

Un attaccante può sfruttare questa vulnerabilità per elevare i propri privilegi a quelli di amministratore, ottenendo così un accesso completo al sistema. Ciò potrebbe permettere di eseguire azioni dannose, come la modifica dei dati, l'accesso non autorizzato e la compromissione della sicurezza del sistema. I sistemi a rischio sono quelli che utilizzano il plugin LatePoint – Calendar Booking per WordPress, in particolare le versioni fino alla 5.6.3.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin LatePoint – Calendar Booking per WordPress alla versione più recente disponibile. Inoltre, è importante assicurarsi che tutti gli utenti abbiano ruoli e privilegi appropriati, e che le funzioni di autenticazione e autorizzazione siano configurate correttamente. È anche raccomandabile monitorare regolarmente il sistema per rilevare eventuali attività sospette e implementare misure di sicurezza aggiuntive, come il controllo degli accessi e la crittografia dei dati.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-13228?

La vulnerabilità CVE-2026-13228 è una vulnerabilità di escalazione dei privilegi presente nel plugin LatePoint – Calendar Booking per WordPress.

Quali sistemi sono a rischio?

I sistemi a rischio sono quelli che utilizzano il plugin LatePoint – Calendar Booking per WordPress, in particolare le versioni fino alla 5.6.3.

Come proteggersi da CVE-2026-13228?

Per proteggersi da questa vulnerabilità, si consiglia di aggiornare il plugin LatePoint – Calendar Booking per WordPress alla versione più recente disponibile e di implementare misure di sicurezza aggiuntive, come il controllo degli accessi e la crittografia dei dati.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.