Platform
php
Component
my-calendar
Opgelost in
3.7.8
3.7.7
CVE-2026-40308 is een kwetsbaarheid in de My Calendar WordPress plugin, specifiek een Insecure Direct Object Reference (IDOR) en Denial of Service (DoS) probleem. Deze kwetsbaarheid stelt ongeautoriseerde gebruikers in staat om kalendergegevens, inclusief private of verborgen evenementen, te extraheren van sub-sites binnen een WordPress Multisite netwerk. Op standaard Single Site WordPress installaties kan het endpoint de PHP worker thread laten crashen, wat resulteert in een DoS aanval. De kwetsbaarheid is verholpen in versie 3.7.7.
CVE-2026-40308 in de My Calendar plugin vormt een aanzienlijk risico voor WordPress-websites, vooral in Multisite-omgevingen. Het stelt niet-geauthenticeerde aanvallers in staat om toegang te krijgen tot privé of verborgen kalender-evenementen op elke subdomain binnen het Multisite-netwerk, waardoor de vertrouwelijkheid van gegevens in gevaar komt. Bij WordPress-installaties met een enkele site kan het exploiteren van deze kwetsbaarheid leiden tot een PHP-worker thread crash, wat resulteert in een Denial-of-Service (DoS)-aanval die de beschikbaarheid van de site verstoort.
Een aanvaller kan deze kwetsbaarheid exploiteren door zorgvuldig samengestelde HTTP-verzoeken naar de mc_ajax endpoint te sturen. Door de aanvraagparameters te manipuleren, kan de aanvaller toegangscontroles omzeilen en kalenderinformatie ophalen die normaal gesproken beschermd zou zijn. Bij installaties met een enkele site kan een kwaadaardig verzoek de PHP-worker thread overbelasten, wat leidt tot een crash en een denial-of-service. Het ontbreken van authenticatie die vereist is om de kwetsbaarheid te exploiteren, maakt deze bijzonder gevaarlijk.
Exploit Status
EPSS
2.23% (85% percentiel)
CISA SSVC
De aanbevolen oplossing is om de My Calendar plugin onmiddellijk te updaten naar versie 3.7.7 of hoger. Deze versie bevat een fix om de IDOR- en DoS-kwetsbaarheden aan te pakken. Controleer en versterk bovendien de beveiligingsbeleidsregels van uw website, inclusief het implementeren van robuuste authenticatie en het beperken van de toegang tot gevoelige resources. Het monitoren van serverlogs op verdachte activiteiten is ook cruciaal om potentiële aanvallen te detecteren en erop te reageren.
Actualice el plugin My Calendar a la versión 3.7.7 o superior para mitigar la vulnerabilidad de divulgación de información no autenticada. Esta actualización corrige la forma en que se manejan los argumentos de entrada, previniendo la extracción de eventos de calendario de otros sitios en una instalación de WordPress Multisite.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
IDOR (Insecure Direct Object Reference) treedt op wanneer een webapplicatie een gebruiker toestaat om interne objecten te openen met behulp van een voorspelbare of manipuleerbare identifier zonder de juiste autorisatiecontroles.
DoS staat voor Denial of Service. Het is een aanval die probeert een online service onbeschikbaar te maken voor haar legitieme gebruikers, meestal door het systeem te overbelasten met verkeer of verzoeken.
Als een onmiddellijke update niet mogelijk is, overweeg dan tijdelijke mitigatiemaatregelen te implementeren, zoals het beperken van de toegang tot het kwetsbare endpoint via een webapplicatiefirewall (WAF).
Controleer de versie van de My Calendar plugin op uw website. Als u een versie gebruikt die vóór 3.7.7 is, bent u kwetsbaar.
Er zijn WordPress-kwetsbaarheidsscanners die deze kwetsbaarheid kunnen detecteren. Raadpleeg de documentatie van uw beveiligingsprovider voor meer informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.