WordPress Simply Schedule Appointments 未授权修改预约漏洞(CVE-2026-6937)分析

漏洞概述 漏洞名称: Appointment Booking Calendar <= 1.6.11.8 - Missing Authorization to Unauthenticated Arbitrary Modification via Bulk Appointments REST API Endpoint CVE ID: CVE-2026-6937 CVSS 评分: 5.3 (Medium) 发布日期: May 27, 2026 最后更新日期: May 28, 2026 研究人员: wnrae 影响范围 受影响版本: <= 1.6.11.8 修复版本: 1.6.11.9 软件类型: Plugin 软件 Slug: simply-schedule-appointments (view on wordpress.org) 是否已修补: Yes 修复方案 修复建议: 更新到版本 1.6.11.9 或更新的修补版本 漏洞描述 该漏洞存在于 Appointment Booking Calendar – Simply Schedule Appointments Booking Plugin 插件中，所有版本 <= 1.6.11.8 都存在此问题。由于插件未正确验证用户是否有权通过 bulk appointments REST API 端点执行操作，导致未授权的攻击者可以修改任意预约记录，包括客户 PII、付款状态和会议 URL 字段，并暴露来自现有预约记录的完整客户 PII。公共通知是一个静态的、用户无关的值，存在于 HTML 源中，任何访问过该页面的人都可以获取它，并针对系统中的任何预约进行攻击，而无需认证。 参考链接 plugins.trac.wordpress.org 分享选项 Facebook X (Twitter) LinkedIn Email 其他信息 最近发现的漏洞: - CVE-2026-39447: Stored Cross-Site Scripting - CVE-2026-7797: Unauthenticated SQL Injection via 'append_where_sql' Parameter - CVE-2026-7493: Unauthenticated Denial of Service - CVE-2026-4807: Unauthenticated Arbitrary Appointment View, Modification and Deletion - CVE-2026-42384: Unauthenticated Sensitive Information Exposure - CVE-2026-39493: Unauthenticated SQL Injection - CVE-2026-39495: Authenticated (Contributor) SQL Injection - CVE-2026-3658: Unauthenticated SQL Injection via 'fields' Parameter - CVE-2026-3045: Missing Authorization to Unauthenticated Sensitive Information Exposure via Settings REST API Endpoint - CVE-2026-1704: Insecure Direct Object Reference to Authenticated (Staff+) Sensitive Information Exposure 版权信息 版权: 2012-2026 Defiant Inc. 许可证: Defiant 授予用户永久、全球、非排他性、不可撤销的版权许可证，用于复制、准备衍生作品、公开显示、公开表演、授权和分发该软件漏洞信息。 联系方式 技术支持: 9am-8pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT（不包括周末和节假日） 响应时间: 24小时支持，365天/年，1小时响应时间 其他链接 Terms of Service Privacy Policy and Notice at Collection Do Not Sell or Share My Personal Information 社交媒体 Facebook Twitter LinkedIn Instagram 产品与服务 Products: - Wordfence Free - Wordfence Premium - Wordfence Care - Wordfence Response - Wordfence CLI - Wordfence Intelligence - Wordfence Central Support: - Documentation - Learning Center - Free Support - Premium Support News: - Blog - In The News - Vulnerability Advisories About: - About Wordfence - Affiliate Program - Employment - Contact - Security - CVE Request Form 订阅更新 邮箱订阅: 输入邮箱地址订阅新闻和更新 版权声明 © 2012-2026 Defiant Inc. All Rights Reserved 其他信息 Wordfence Intelligence: 提供免费的个人和商业 API 访问，用于全面的 WordPress 漏洞数据库，以及免费的 webhook 集成，以保持在数据库中添加和更新的新漏洞之上。 Wordfence: 安装 Wordfence 以立即获取可能影响您 WordPress 站点的最新漏洞通知。 Documentation: 查看文档以了解如何访问和消费漏洞数据。 总结 该页面详细介绍了 Appointment Booking Calendar 插件中的一个漏洞，提供了漏洞概述、影响范围、修复方案、参考链接、分享选项、最近发现的漏洞、版权信息、联系方式、其他链接、社交媒体、产品与服务、订阅更新、版权声明和其他相关信息。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

WordPress Simply Schedule Appointments 未授权修改预约漏洞(CVE-2026-6937)分析

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

WordPress Simply Schedule Appointments 未授权修改预约漏洞(CVE-2026-6937)分析

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！