Plataforma
php
Componente
my-calendar
Corrigido em
3.7.8
3.7.7
A vulnerabilidade CVE-2026-40308 é uma falha de Divulgação de Informação (IDOR) e Negação de Serviço (DoS) encontrada no plugin My Calendar para WordPress. Essa falha permite que usuários não autenticados acessem eventos de calendário privados ou ocultos em instalações WordPress Multisite, ou causem uma negação de serviço em instalações Single Site, sobrecarregando o thread PHP. A vulnerabilidade afeta as versões 3.7.6 até 3.7.7 do plugin, sendo que uma correção foi lançada na versão 3.7.7.
A vulnerabilidade CVE-2026-40308 no plugin My Calendar representa um risco significativo para sites WordPress, especialmente em ambientes Multisite. Permite que atacantes não autenticados acessem eventos de calendário privados ou ocultos em qualquer subdomínio da rede Multisite, comprometendo a confidencialidade dos dados. Em instalações WordPress de site único, a exploração desta vulnerabilidade pode acionar uma falha no thread de trabalho PHP, resultando em uma Negação de Serviço (DoS) que interrompe a disponibilidade do site.
Um atacante pode explorar esta vulnerabilidade enviando solicitações HTTP cuidadosamente elaboradas para o endpoint mc_ajax. Ao manipular os parâmetros da solicitação, o atacante pode ignorar os controles de acesso e recuperar informações do calendário que normalmente estariam protegidas. Em instalações de site único, uma solicitação maliciosa pode sobrecarregar o thread de trabalho PHP, causando uma falha e uma negação de serviço. A falta de autenticação necessária para explorar a vulnerabilidade a torna particularmente perigosa.
Status do Exploit
EPSS
2.23% (percentil 85%)
CISA SSVC
A solução recomendada é atualizar imediatamente o plugin My Calendar para a versão 3.7.7 ou superior. Esta versão inclui uma correção para abordar as vulnerabilidades de IDOR e DoS. Além disso, revise e fortaleça as políticas de segurança do seu site, incluindo a implementação de autenticação robusta e a limitação do acesso a recursos sensíveis. Monitorar os logs do servidor em busca de atividades suspeitas também é crucial para detectar e responder a possíveis ataques.
Actualice el plugin My Calendar a la versión 3.7.7 o superior para mitigar la vulnerabilidad de divulgación de información no autenticada. Esta actualización corrige la forma en que se manejan los argumentos de entrada, previniendo la extracción de eventos de calendario de otros sitios en una instalación de WordPress Multisite.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
IDOR (Insecure Direct Object Reference) ocorre quando uma aplicação web permite que um usuário acesse objetos internos usando um identificador previsível ou manipulável, sem verificações adequadas de autorização.
DoS significa Denial of Service. É um ataque que tenta fazer com que um serviço online não esteja disponível para seus usuários legítimos, geralmente sobrecarregando o sistema com tráfego ou solicitações.
Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como restringir o acesso ao endpoint vulnerável por meio de um firewall de aplicativos web (WAF).
Verifique a versão do plugin My Calendar em seu site. Se você estiver usando uma versão anterior à 3.7.7, você é vulnerável.
Existem scanners de vulnerabilidades WordPress que podem detectar esta vulnerabilidade. Consulte a documentação do seu provedor de segurança para obter mais informações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.