Plataforma
wordpress
Componente
latepoint
Corregido en
5.2.6
El plugin LatePoint – Calendar Booking Plugin for Appointments and Events para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en todas las versiones hasta la 5.2.5. Esta debilidad se debe a una validación insuficiente de las capacidades del usuario en la función 'callbyroute_name', sin la verificación de nonce necesaria. Esto permite a atacantes no autenticados ejecutar acciones administrativas mediante solicitudes falsificadas si logran engañar a un administrador del sitio para que realice una acción específica.
Un atacante que explote esta vulnerabilidad CSRF puede realizar acciones administrativas en el sitio WordPress sin necesidad de autenticación. Esto incluye la creación, modificación o eliminación de citas, la configuración de parámetros del plugin y potencialmente el acceso a información sensible. El ataque se basa en engañar a un administrador legítimo para que haga clic en un enlace malicioso, lo que permite al atacante ejecutar comandos en nombre del administrador. La falta de validación de nonce facilita la creación de solicitudes falsificadas que pueden ser utilizadas para comprometer la integridad y la confidencialidad del sitio web.
Esta vulnerabilidad ha sido publicada el 2026-02-14. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace susceptible a ataques oportunistas. La falta de un nonce en las solicitudes administrativas facilita la explotación. No se encuentra en el KEV catalog de CISA a la fecha.
WordPress sites using the LatePoint plugin, particularly those with shared hosting environments or those where administrators are not adequately trained in security best practices, are at increased risk. Sites with legacy configurations or those that haven't implemented robust security measures are also more vulnerable.
• wordpress / composer / npm:
grep -r 'call_by_route_name' /var/www/html/wp-content/plugins/latepoint-booking-plugin/*• generic web:
curl -I https://your-wordpress-site.com/ | grep -i 'referer'• wordpress / composer / npm:
wp plugin list --status=active | grep latepointdisclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin LatePoint Calendar Booking Plugin for Appointments and Events a la versión 5.2.6 o superior, donde la vulnerabilidad ha sido corregida. Como medida temporal, se recomienda implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que no incluyan un nonce válido. Además, es crucial educar a los administradores del sitio sobre los riesgos de los ataques CSRF y la importancia de verificar la autenticidad de los enlaces antes de hacer clic en ellos. Después de la actualización, confirme que la validación de nonce está correctamente implementada revisando el código fuente del plugin o consultando la documentación oficial.
Actualizar a la versión 5.2.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14873 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin LatePoint Calendar Booking Plugin para WordPress, permitiendo a atacantes realizar acciones administrativas sin autenticación.
Si está utilizando el plugin LatePoint Calendar Booking Plugin para WordPress en versiones 0.0.0 hasta 5.2.5, es vulnerable a esta vulnerabilidad.
Actualice el plugin a la versión 5.2.6 o superior. Como medida temporal, implemente reglas WAF para bloquear solicitudes sospechosas.
No se ha reportado explotación activa a la fecha, pero la naturaleza de CSRF la hace susceptible a ataques oportunistas.
Consulte el sitio web oficial de LatePoint o los canales de comunicación del plugin para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.