CVE-2025-3769 5.3 MEDIUM
Referencia directa insegura a objetos (IDOR) en el plugin LatePoint permite acceso no autenticado a detalles de citas, incluyendo nombres y correos electrónicos de clientes.
| Producto | LatePoint – Calendar Booking Plugin for Appointments and Events |
|---|---|
| Versiones Afectadas | ≤ 5.1.92 |
| Versión Corregida | 5.1.93 |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| CWE | CWE-639 (Evasión de autorización mediante clave controlada por el usuario) |
| Publicado | 2025-05-14 |
| Instalaciones activas | 100,000+ |
Descripción
El plugin LatePoint para WordPress es vulnerable a una Referencia Directa Insegura a Objetos (IDOR) en todas las versiones hasta la 5.1.92 incluida. La vulnerabilidad existe en la función view_booking_summary_in_lightbox debido a una validación inadecuada de los parámetros proporcionados por el usuario. Esto permite a atacantes no autenticados acceder a detalles de citas como nombres y direcciones de correo electrónico de clientes sin ninguna autenticación, exponiendo potencialmente información personal sensible de los registros de reservas.
Impacto
Un atacante no autenticado puede enumerar y acceder a registros de reservas que contienen datos personales de clientes (nombres, correos electrónicos, detalles de citas) en cualquier sitio WordPress con una versión vulnerable de LatePoint.