Плагин LatePoint — плагин бронирования календаря для встреч и мероприятий для WordPress уязвим к подделке межсайтовых запросов во всех версиях до 5.2.7 включительно. Это связано с отсутствием или неправильной проверкой nonce в функции reload_preview(). Это позволяет неаутентифицированным злоумышленникам обновлять настройки и внедрять вредоносные веб-скрипты с помощью поддельного запроса, при условии, что они могут обманом заставить администратора сайта выполнить такое действие, как нажатие на ссылку.
Показать оригинальное описание (EN)
The LatePoint – Calendar Booking Plugin for Appointments and Events plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 5.2.7. This is due to missing or incorrect nonce validation on the reload_preview() function. This makes it possible for unauthenticated attackers to update settings and inject malicious web scripts via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
Характеристики атаки
Последствия
Строка CVSS v3.1