CVE-2026-39513 7.5 HIGH
Control de acceso roto en el plugin Easy Appointments que permite a atacantes no autenticados acceder a una ruta REST privilegiada registrada con '__return_true' como permission_callback, exponiendo datos de citas gestionados por el sitio.
| Producto | Easy Appointments |
|---|---|
| Versiones Afectadas | ≤ 3.12.21 |
| Versión Corregida | 3.12.22 |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| CWE | CWE-862 (Falta de autorización) |
| Publicado | 2026-04-13 |
| Instalaciones activas | 10,000+ |
Descripción
El plugin Easy Appointments para WordPress es vulnerable a Broken Access Control en todas las versiones hasta la 3.12.21 incluida. Una ruta REST registrada por la integración de bloques del plugin usa '__return_true' como permission_callback, con un comentario que decía 'Secure this if needed'. La ruta es accesible para cualquier visitante sin autenticación, sin comprobación de capacidades y sin validación de nonce. Atacantes no autenticados pueden invocarla para leer registros de citas y los metadatos de campos personalizados que el sitio asume como privados.
Impacto
Un atacante no autenticado puede enumerar y leer registros de citas que contienen datos personales de clientes, como nombres, direcciones de correo, teléfonos y detalles de la reserva, en cualquier sitio WordPress con una versión vulnerable de Easy Appointments. Dado el uso del plugin en sectores como sanidad, asesoría legal y servicios profesionales, la divulgación tiene consecuencias directas sobre la privacidad y el cumplimiento normativo.