Vulnerabilidad en Booktics – Booking Calendar for Appointments and Service Businesses de arraytics (CVE-2026-1919)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
10/03/2026
Última modificación:
22/04/2026
Descripción
El plugin Booking Calendar para Appointments and Service Businesses – Booktics para WordPress es vulnerable al acceso no autorizado de datos debido a una falta de verificación de capacidad en múltiples endpoints de la API REST en todas las versiones hasta la 1.0.16, inclusive. Esto permite a atacantes no autenticados consultar datos sensibles.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/booktics/tags/1.0.15/core/appointment/controllers/appointment-controller.php#L549
- https://plugins.trac.wordpress.org/browser/booktics/tags/1.0.15/core/customer/controllers/customer-controller.php#L229
- https://plugins.trac.wordpress.org/browser/booktics/tags/1.0.15/core/order/controllers/order-controller.php#L889
- https://plugins.trac.wordpress.org/browser/booktics/tags/1.0.15/core/team-member/controllers/team-member-controller.php#L235
- https://plugins.trac.wordpress.org/changeset/3477898/booktics
- https://www.wordfence.com/threat-intel/vulnerabilities/id/c88dcf62-4b6c-4ff0-8530-5aefd54bd347?source=cve