Plattform
php
Komponente
my-calendar
Behoben in
3.7.8
3.7.7
CVE-2026-40308 represents an Information Disclosure and Denial of Service vulnerability discovered in the My Calendar plugin for WordPress. This flaw allows unauthenticated users to potentially extract sensitive calendar event data, including private or hidden events, from any sub-site within a WordPress Multisite network. On standard WordPress installations, exploitation can lead to a Denial of Service by crashing the PHP worker thread. The vulnerability affects versions 3.7.6 through 3.7.6, and a patch is available in version 3.7.7.
Die CVE-2026-40308 im My Calendar Plugin stellt ein erhebliches Risiko für WordPress-Websites dar, insbesondere in Multisite-Umgebungen. Es ermöglicht nicht authentifizierten Angreifern, private oder versteckte Kalenderereignisse auf jedem Subdomain innerhalb des Multisite-Netzwerks abzurufen, wodurch die Vertraulichkeit der Daten gefährdet wird. Bei WordPress-Installationen mit einem einzigen Standort kann die Ausnutzung dieser Schwachstelle zu einem Absturz des PHP-Worker-Threads führen, was zu einem Denial-of-Service (DoS)-Angriff führt, der die Verfügbarkeit der Website unterbricht.
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er sorgfältig gestaltete HTTP-Anfragen an den Endpunkt mc_ajax sendet. Durch die Manipulation von Anfrageparametern kann der Angreifer Zugriffskontrollen umgehen und Kalenderinformationen abrufen, die normalerweise geschützt sind. Bei Installationen mit einem einzigen Standort kann eine bösartige Anfrage den PHP-Worker-Thread überlasten, was zu einem Absturz und einem Denial-of-Service führt. Das Fehlen einer Authentifizierung, die zur Ausnutzung der Schwachstelle erforderlich ist, macht sie besonders gefährlich.
Exploit-Status
EPSS
2.23% (85% Perzentil)
CISA SSVC
Die empfohlene Lösung ist, das My Calendar Plugin sofort auf Version 3.7.7 oder höher zu aktualisieren. Diese Version enthält eine Korrektur zur Behebung der IDOR- und DoS-Schwachstellen. Überprüfen und verstärken Sie außerdem die Sicherheitsrichtlinien Ihrer Website, einschließlich der Implementierung einer robusten Authentifizierung und der Beschränkung des Zugriffs auf sensible Ressourcen. Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten ist ebenfalls entscheidend, um potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice el plugin My Calendar a la versión 3.7.7 o superior para mitigar la vulnerabilidad de divulgación de información no autenticada. Esta actualización corrige la forma en que se manejan los argumentos de entrada, previniendo la extracción de eventos de calendario de otros sitios en una instalación de WordPress Multisite.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
IDOR (Insecure Direct Object Reference) tritt auf, wenn eine Webanwendung einem Benutzer erlaubt, interne Objekte mithilfe eines vorhersehbaren oder manipulierbaren Identifikators zuzugreifen, ohne ordnungsgemäße Autorisierungsprüfungen durchzuführen.
DoS steht für Denial of Service. Es ist ein Angriff, der versucht, einen Online-Dienst für seine legitimen Benutzer unzugänglich zu machen, typischerweise durch Überlastung des Systems mit Datenverkehr oder Anfragen.
Wenn ein sofortiges Update nicht möglich ist, sollten Sie vorübergehende Maßnahmen zur Abschwächung in Betracht ziehen, z. B. die Beschränkung des Zugriffs auf den anfälligen Endpunkt über eine Web Application Firewall (WAF).
Überprüfen Sie die Version des My Calendar Plugins auf Ihrer Website. Wenn Sie eine Version vor 3.7.7 verwenden, sind Sie anfällig.
Es gibt WordPress-Schwachheitsscanner, die diese Schwachstelle erkennen können. Wenden Sie sich an die Dokumentation Ihres Sicherheitsanbieters, um weitere Informationen zu erhalten.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.