Plataforma
wordpress
Componente
wp-base-booking-of-appointments-services-and-events
Corrigido em
6.0.0
O plugin WP BASE Booking of Appointments, Services and Events para WordPress apresenta uma vulnerabilidade de Escalada de Privilégios. Essa falha permite que atacantes não autenticados elevem seus privilégios para o nível de administrador, comprometendo a segurança do site. A vulnerabilidade afeta todas as versões até e incluindo 5.9.0. A correção foi disponibilizada na versão 6.0.0.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado obtenha acesso irrestrito ao painel de administração do WordPress. Isso significa que o atacante pode criar, editar ou excluir qualquer conteúdo, instalar ou remover plugins, alterar configurações do site e, em última análise, assumir o controle total do site WordPress. O impacto é severo, pois a integridade e a confidencialidade dos dados do site e dos usuários estão em risco. A ausência de autenticação necessária para a exploração torna a vulnerabilidade particularmente perigosa, pois qualquer pessoa com acesso à internet pode tentar explorá-la.
A vulnerabilidade foi divulgada em 8 de abril de 2026. Não há evidências de exploração ativa em campanhas direcionadas, mas a facilidade de exploração e a alta pontuação CVSS indicam um risco significativo. A ausência de um KEV listing sugere que a vulnerabilidade ainda não foi considerada uma ameaça crítica pelo CISA, mas o potencial de impacto justifica uma atenção imediata.
Status do Exploit
Vetor CVSS
A mitigação primária é atualizar o plugin WP BASE Booking para a versão 6.0.0 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin ou restringir o acesso ao painel de administração. Implementar um firewall de aplicação web (WAF) com regras para bloquear tentativas de acesso não autorizado a áreas administrativas pode fornecer uma camada adicional de proteção. Monitore os logs do WordPress em busca de atividades suspeitas, como tentativas de login falhadas ou modificações inesperadas no conteúdo do site.
Atualize para a versão 6.0.0, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A CVSS score of 9.8 indicates a critical severity vulnerability with a high likelihood of exploitation. It signifies a very serious potential impact.
If immediate updating isn't possible, implement additional security measures such as two-factor authentication and log monitoring.
Yes, all versions of WP BASE Booking prior to 6.0.0 are vulnerable to this privilege escalation.
In the WordPress admin dashboard, go to 'Plugins' and check the WP BASE Booking version.
Visit the official WP BASE Booking plugin page or the WordPress repository for update instructions.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.