Platform
wordpress
Component
wp-base-booking-of-appointments-services-and-events
Opgelost in
6.0.0
CVE-2026-39587 beschrijft een Privilege Escalation kwetsbaarheid in de WP BASE Booking plugin voor WordPress. Deze kwetsbaarheid stelt onbevoegde aanvallers in staat om hun privileges te verhogen tot die van een administrator, waardoor ze volledige controle over de website kunnen krijgen. De kwetsbaarheid treft versies van de plugin tot en met 5.9.0. Een fix is beschikbaar in versie 6.0.0.
De impact van deze Privilege Escalation kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om ongeautoriseerde toegang te krijgen tot de WordPress website en alle bijbehorende data. Dit kan leiden tot ongeautoriseerde wijzigingen aan content, installatie van kwaadaardige software, diefstal van gevoelige informatie (zoals gebruikersgegevens en financiële details) en zelfs volledige controle over de server. De kwetsbaarheid is bijzonder gevaarlijk omdat deze geen authenticatie vereist, waardoor zelfs een niet-geregistreerde gebruiker de website kan compromitteren. Het is vergelijkbaar met scenario's waarbij een aanvaller een back-end account overneemt zonder in te loggen.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-04-08. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes, maar de hoge CVSS score (9.8) en de eenvoudige exploitatie (geen authenticatie vereist) suggereren een potentieel hoog risico. Het is aan te raden om de plugin zo snel mogelijk te patchen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status pending). Er zijn publieke proof-of-concept exploits beschikbaar.
Exploit Status
CVSS-vector
De primaire mitigatie voor CVE-2026-39587 is het upgraden van de WP BASE Booking plugin naar versie 6.0.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers of het implementeren van een Web Application Firewall (WAF) om pogingen tot privilege escalatie te blokkeren. Controleer de WordPress logs op verdachte activiteiten, zoals ongebruikelijke login pogingen of wijzigingen aan gebruikersrechten. Na de upgrade, verifieer de fix door te proberen in te loggen met een account zonder administratorrechten en te controleren of de privileges niet kunnen worden verhoogd.
Update naar versie 6.0.0, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
A CVSS score of 9.8 indicates a critical severity vulnerability with a high likelihood of exploitation. It signifies a very serious potential impact.
If immediate updating isn't possible, implement additional security measures such as two-factor authentication and log monitoring.
Yes, all versions of WP BASE Booking prior to 6.0.0 are vulnerable to this privilege escalation.
In the WordPress admin dashboard, go to 'Plugins' and check the WP BASE Booking version.
Visit the official WP BASE Booking plugin page or the WordPress repository for update instructions.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.