CVE-2026-6741: уязвимость в Calendar Booking Plugin for Appointments and Events — полный разбор и защита
Критическая дыра безопасности в плагине Calendar Booking Plugin for Appointments and Events для WordPress. Уровень: Высокий (CVSS 8.8). Опубликовано 2026-04-27. Полный технический разбор, кто в зоне риска и точные шаги защиты.
Коротко — что нужно знать
В плагине бронирования LatePoint для WordPress существует уязвимость высокой степени опасности. Этот недостаток позволяет пользователю с низкими привилегиями, например «агенту», получить полный контроль над вашим сайтом, сбросив пароль администратора. Если вы используете этот плагин, ваш сайт подвергается высокому риску полного захвата. Вы должны немедленно обновить плагин до исправленной версии.
Технический разбор
Плагин LatePoint – Calendar Booking Plugin for Appointments and Events в версиях до 5.4.1 включительно уязвим к повышению привилегий (CVE-2026-6741). Уязвимость классифицируется как имеющая высокую степень опасности с оценкой CVSS 8.8. Суть проблемы заключается в механизмах контроля доступа плагина, а именно в отсутствующей проверке авторизации, которая позволяет пользователю с низкими привилегиями получить административный контроль над всем сайтом WordPress.
Для эксплуатации уязвимости злоумышленнику необходимо быть аутентифицированным с ролью, обладающей разрешением customer__edit, которое по умолчанию предоставляется роли latepoint_agent. Уязвимость находится в методе execute(), соответствующем разрешению connect-customer-to-wp-user. Эта функция не проверяет, принадлежит ли целевой идентификатор пользователя WordPress, к которому привязывается запись клиента LatePoint, привилегированному пользователю, например, администратору. Злоумышленник может злоупотребить этим недостатком, указав ID пользователя администратора сайта. Как только запись клиента LatePoint будет успешно привязана к учетной записи администратора WordPress, злоумышленник сможет воспользоваться стандартной функцией сброса пароля, доступной клиентам. Это действие инициирует сброс пароля для связанной учетной записи администратора WordPress, а не только для профиля клиента, что позволяет злоумышленнику установить новый пароль и войти в систему как администратор.
Основной причиной является обход авторизации из-за отсутствия проверки роли или прав целевого пользователя. Функция корректно проверяет, что атакующий пользователь имеет разрешение customer__edit, но ошибочно предполагает, что этого достаточно для операции, которая может изменять аутентификационные данные любого пользователя на сайте, включая привилегированных. Эта оплошность позволяет аутентифицированному злоумышленнику пересечь значимый барьер безопасности, повысив свои привилегии с ограниченной роли агента до полного администратора, что приводит к полной компрометации сайта. Конкретная конечная точка или параметры, используемые при атаке, в публичном раскрытии не указаны.
Кто в зоне риска
Эта уязвимость затрагивает любой сайт WordPress, использующий плагин LatePoint – Calendar Booking Plugin for Appointments and Events в версиях до 5.4.1 включительно. Этот плагин обычно используется компаниями, которые зависят от планирования встреч, такими как медицинские клиники, салоны, консультанты, коучи и другие специалисты, предоставляющие услуги. База пользователей обычно включает организации, которым необходимо управлять бронированиями клиентов и расписаниями персонала непосредственно через свой веб-сайт.
Риск наиболее высок для сайтов с несколькими учетными записями пользователей, которые используют встроенную роль latepoint_agent для сотрудников или подрядчиков. В таких многопользовательских средах любой пользователь с правами агента становится потенциальным вектором для полного захвата сайта. Сайты, на которых агенты не являются полностью доверенными администраторами, подвергаются наибольшему риску, поскольку предпосылка уязвимости заключается в повышении привилегий с ограниченной, неадминистративной роли. Хотя сайт с одним пользователем, где единственный пользователь является администратором, теоретически менее уязвим, уязвимость остается критической и должна быть немедленно исправлена, чтобы предотвратить эксплуатацию, если злоумышленник найдет другой способ получить доступ на уровне агента.
🔍 Проверьте сайт за 60 секунд
Бесплатный мгновенный аудит — сканируем эту CVE и 50+ других уязвимостей, без регистрации.
Запустить бесплатный аудит Сканер 24/7Как закрыть уязвимость
Для снижения риска, связанного с CVE-2026-6741, и защиты вашего сайта WordPress рекомендуются следующие шаги:
- Немедленно обновитесь: Самый важный и эффективный шаг — обновить плагин LatePoint до исправленной версии. Уязвимость устранена в версиях после 5.4.1. Перейдите в панель управления WordPress, откройте раздел «Плагины» и примените обновление, как только оно станет доступно. Не откладывайте это действие.
- Сначала создайте резервную копию сайта: Перед выполнением любого обновления необходимо создать полную резервную копию файлов и базы данных вашего сайта. Это гарантирует, что вы сможете восстановить сайт в его предыдущее состояние, если в процессе обновления возникнут какие-либо проблемы.
- Временные меры, если обновление откладывается: Если вы не можете немедленно обновить плагин, самым безопасным вариантом будет деактивировать и удалить плагин с вашего сайта до тех пор, пока вы не сможете применить исправление. В качестве менее строгой, но и менее полной меры, вы можете провести аудит всех учетных записей пользователей и удалить всех пользователей, не являющихся администраторами, из роли
latepoint_agent. Правильно настроенный межсетевой экран веб-приложений (WAF) может блокировать попытки эксплуатации, если будет создано правило, нацеленное на конкретное уязвимое действие, но это требует технических знаний и может быть не полностью эффективным без точных деталей вектора атаки. - Автоматическое сканирование уязвимостей: Для поддержания постоянной безопасности используйте решение для сканирования уязвимостей. Службы безопасности, включая сторонние сканеры или плагины, такие как GuardLabs Web-Audit Guardian, могут помочь автоматически обнаруживать устаревшее программное обеспечение, отсутствующие исправления и известные уязвимости. Регулярное сканирование помогает своевременно получать оповещения о подобных рисках.
🛡️ GuardLabs Care — мы делаем это за вас
$240/год: managed WordPress хостинг + SSL + мониторинг 24/7 + автообновление плагинов с откатом + алерты простоя. Патчим CVE в день выхода.
Тарифы CareЧастые вопросы
Непосредственный риск — это полный захват сайта. Злоумышленник с учетной записью «агента» низкого уровня может повысить свои привилегии до администратора сайта, получив полный контроль над вашим веб-сайтом.
Все версии плагина LatePoint – Calendar Booking Plugin for Appointments and Events до версии 5.4.1 включительно являются уязвимыми. Вам следует как можно скорее обновиться до версии выше этой.
Хотя основной вектор атаки требует, чтобы у злоумышленника была роль «агента», обновление все равно критически важно. Уязвимость высокой степени опасности должна быть исправлена независимо от текущей конфигурации пользователей на вашем сайте, чтобы полностью устранить риск.
Злоумышленник использует функцию для привязки профиля клиента к пользователю WordPress. Из-за уязвимости он может привязать профиль к учетной записи администратора, а затем использовать стандартную функцию сброса пароля, чтобы изменить пароль администратора.
Если вы не можете немедленно обновиться, самым безопасным действием будет отключить и деактивировать плагин LatePoint до тех пор, пока вы не сможете применить исправление. Вам также следует рассмотреть возможность временного удаления всех пользователей с ролью «latepoint_agent».
Хронология раскрытия
- 2026-04-27Публикация в NVD
- 2026-05-03Разбор GuardLabs