Pubblicato il 2026-07-01 · Fonte: NVD NIST
La vulnerabilità CVE-2026-13228 è una vulnerabilità di escalazione dei privilegi presente nel plugin LatePoint – Calendar Booking per WordPress. Questa vulnerabilità è causata da un Insecure Direct Object Reference (IDOR) nella funzione create_or_update() di OsOrdersController, che consente a un utente autenticato con accesso di tipo Agent di sovrascrivere il campo email di qualsiasi cliente LatePoint, compresi quelli collegati a un account amministratore di WordPress. La mancanza di verifica del ruolo in OsAuthHelper::authorize_customer() consente inoltre di accedere all'account dell'utente collegato senza controllare il suo ruolo. Ciò rende possibile per gli attaccanti autenticati con accesso personalizzato (Agent) o superiore di elevare i propri privilegi a quelli di amministratore.
Un attaccante può sfruttare questa vulnerabilità per elevare i propri privilegi a quelli di amministratore, ottenendo così un accesso completo al sistema. Ciò potrebbe permettere di eseguire azioni dannose, come la modifica dei dati, l'accesso non autorizzato e la compromissione della sicurezza del sistema. I sistemi a rischio sono quelli che utilizzano il plugin LatePoint – Calendar Booking per WordPress, in particolare le versioni fino alla 5.6.3.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin LatePoint – Calendar Booking per WordPress alla versione più recente disponibile. Inoltre, è importante assicurarsi che tutti gli utenti abbiano ruoli e privilegi appropriati, e che le funzioni di autenticazione e autorizzazione siano configurate correttamente. È anche raccomandabile monitorare regolarmente il sistema per rilevare eventuali attività sospette e implementare misure di sicurezza aggiuntive, come il controllo degli accessi e la crittografia dei dati.
La vulnerabilità CVE-2026-13228 è una vulnerabilità di escalazione dei privilegi presente nel plugin LatePoint – Calendar Booking per WordPress.
I sistemi a rischio sono quelli che utilizzano il plugin LatePoint – Calendar Booking per WordPress, in particolare le versioni fino alla 5.6.3.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare il plugin LatePoint – Calendar Booking per WordPress alla versione più recente disponibile e di implementare misure di sicurezza aggiuntive, come il controllo degli accessi e la crittografia dei dati.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.