CVE-2026-3045 WordPress — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	7,5 (HIGH)
Тип уязвимости	CWE-862 (Отсутствие авторизации)
Поставщик	WordPress
Публичный эксплойт	Нет

Плагин Appointment Booking Calendar — Simply Schedule Appointments для WordPress уязвим для несанкционированного доступа к конфиденциальным данным во всех версиях до 1.6.9.29 включительно. Это связано с двумя совокупными недостатками: (1) не привязанный к пользователю `public_nonce` доступен неаутентифицированным пользователям через общедоступную конечную точку REST `/wp-json/ssa/v1/embed-inner` и (2) метод `get_item()` в `SSA_Settings_Api` полагается на `nonce_permissions_check()` для авторизации (который принимает общедоступный nonce), но не вызовите `remove_unauthorized_settings_for_current_user()` для фильтрации полей с ограниченным доступом. Это позволяет неаутентифицированным злоумышленникам получить доступ к настройкам плагина только для администратора, включая адрес электронной почты администратора, номер телефона, внутренние токены доступа, конфигурации уведомлений и настройки разработчика через конечную точку `/wp-json/ssa/v1/settings/{section}`.

Раскрытие токенов встреч также позволяет злоумышленнику изменять или отменять встречи.

Показать оригинальное описание (EN)

The Appointment Booking Calendar — Simply Schedule Appointments plugin for WordPress is vulnerable to unauthorized access of sensitive data in all versions up to and including 1.6.9.29. This is due to two compounding weaknesses: (1) a non-user-bound `public_nonce` is exposed to unauthenticated users through the public `/wp-json/ssa/v1/embed-inner` REST endpoint, and (2) the `get_item()` method in `SSA_Settings_Api` relies on `nonce_permissions_check()` for authorization (which accepts the public nonce) but does not call `remove_unauthorized_settings_for_current_user()` to filter restricted fields. This makes it possible for unauthenticated attackers to access admin-only plugin settings including the administrator email, phone number, internal access tokens, notification configurations, and developer settings via the `/wp-json/ssa/v1/settings/{section}` endpoint. The exposure of appointment tokens also allows an attacker to modify or cancel appointments.