Plataforma
wordpress
Componente
latepoint
Corregido en
5.2.8
La vulnerabilidad CVE-2026-1566 afecta al plugin LatePoint – Calendar Booking Plugin for Appointments and Events para WordPress. Esta vulnerabilidad permite la escalada de privilegios, permitiendo a atacantes autenticados con acceso de Agente obtener privilegios elevados. Las versiones afectadas son desde 0.0.0 hasta la 5.2.7. La solución es actualizar el plugin a la versión 5.2.8.
Un atacante con un rol de Agente en el plugin LatePoint puede explotar esta vulnerabilidad para obtener acceso de administrador al sitio WordPress. Esto se logra asociando un nuevo cliente a un ID de usuario de administrador existente y luego restableciendo la contraseña del usuario administrador. El impacto es significativo, ya que el atacante puede comprometer completamente el sitio web, acceder a datos sensibles, modificar contenido y realizar acciones en nombre del administrador. La capacidad de escalar privilegios de esta manera es particularmente peligrosa, ya que permite a un atacante con acceso limitado obtener control total sobre el sistema.
Esta vulnerabilidad fue publicada el 2 de marzo de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza. Se recomienda monitorear las fuentes de inteligencia de amenazas y los foros de seguridad en busca de posibles PoCs o campañas de explotación. La vulnerabilidad se ha añadido al catálogo KEV de CISA, lo que indica una probabilidad de explotación moderada a alta.
WordPress websites utilizing the LatePoint – Calendar Booking Plugin, particularly those with multiple users and a tiered role structure, are at risk. Shared hosting environments where users have Agent-level access within the plugin are especially vulnerable, as the attacker's ability to escalate privileges is amplified.
• wordpress / composer / npm:
grep -r 'wordpress_user_id' /var/www/html/wp-content/plugins/latepoint-booking-plugin/*• wordpress / composer / npm:
wp plugin list --status=active | grep latepoint• wordpress / composer / npm:
wp plugin update latepoint-booking-plugin --all• wordpress / composer / npm:
wp plugin status latepoint-booking-plugindisclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-1566 es actualizar el plugin LatePoint a la versión 5.2.8 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de la actualización. Como medida temporal, se puede restringir el acceso al campo 'wordpressuserid' para usuarios con rol Agent, aunque esto puede afectar la funcionalidad del plugin. Monitorear los registros del sitio web en busca de intentos de restablecimiento de contraseñas inusuales o cambios en los roles de usuario también puede ayudar a detectar actividad maliciosa. Después de la actualización, confirme que el campo 'wordpressuserid' ya no es modificable por usuarios con rol Agent.
Actualizar a la versión 5.2.8, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1566 is a HIGH severity vulnerability in the LatePoint plugin for WordPress allowing attackers with Agent access to escalate privileges and potentially gain admin control.
You are affected if you are using LatePoint plugin versions 0.0.0 through 5.2.7. Upgrade to 5.2.8 to resolve the issue.
Upgrade the LatePoint plugin to version 5.2.8 or later. If immediate upgrade is not possible, temporarily restrict the 'wordpressuserid' field.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's simplicity suggests potential for future exploitation.
Refer to the official LatePoint plugin website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.