Календарь бронирования для встреч и предприятий сферы услуг — плагин Booktics для WordPress уязвим для несанкционированного доступа к данным из-за отсутствия проверки возможностей на нескольких конечных точках REST API во всех версиях до 1.0.16 включительно. Это позволяет злоумышленникам, не прошедшим проверку подлинности, запрашивать конфиденциальные данные.
Показать оригинальное описание (EN)
The Booking Calendar for Appointments and Service Businesses – Booktics plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on multiple REST API endpoints in all versions up to, and including, 1.0.16. This makes it possible for unauthenticated attackers to query sensitive data.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 6
https://plugins.trac.wordpress.org/browser/booktics/tags/1.0.15/core/appointmen…
security@wordfence.com
https://plugins.trac.wordpress.org/browser/booktics/tags/1.0.15/core/customer/c…
security@wordfence.com
https://plugins.trac.wordpress.org/browser/booktics/tags/1.0.15/core/order/cont…
security@wordfence.com
https://plugins.trac.wordpress.org/browser/booktics/tags/1.0.15/core/team-membe…
security@wordfence.com
https://plugins.trac.wordpress.org/changeset/3477898/booktics
security@wordfence.com
https://www.wordfence.com/threat-intel/vulnerabilities/id/c88dcf62-4b6c-4ff0-85…
security@wordfence.com