免费扫描
分析待定CVE-2026-7332

CVE-2026-7332: XSS in LatePoint Calendar Booking Plugin

平台

wordpress

组件

latepoint

修复版本

5.5.1

在NVD查看
保存

CVE-2026-7332 描述了 LatePoint – Calendar Booking Plugin for Appointments and Events 插件在 WordPress 平台上的一个存储型跨站脚本攻击(XSS)漏洞。该漏洞允许未经身份验证的攻击者通过注入恶意脚本,并在用户访问注入页面时执行这些脚本。此漏洞影响所有版本小于等于 5.5.0 的插件,已于 2026 年 5 月 5 日发布。建议立即升级至 5.5.1 版本以修复此问题。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

攻击者可以利用此 XSS 漏洞在受影响的 WordPress 网站上执行任意 JavaScript 代码。这可能导致攻击者窃取用户会话 cookie,从而冒充用户执行操作,例如修改预订、访问敏感数据或重定向用户到恶意网站。此外,攻击者还可以利用此漏洞在网站上显示虚假信息,破坏网站的声誉。由于该漏洞允许存储型 XSS,攻击者无需用户交互即可触发恶意脚本,使得攻击的隐蔽性和潜在影响更大。攻击者可以利用此漏洞进行大规模攻击,影响所有使用受影响插件的 WordPress 网站。

利用背景

目前尚未公开发现针对此漏洞的利用代码(POC)。该漏洞的严重程度评分为高(CVSS 7.2),表明其存在被利用的风险。由于该漏洞影响 WordPress 插件,因此可能成为攻击者的目标。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告2 份威胁报告

EPSS

0.21% (44% 百分位)

CISA SSVC

利用情况none
可自动化yes
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
低 — 可访问部分数据。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件latepoint
供应商wordfence
最高版本5.5.0
修复版本5.5.1

弱点分类 (CWE)

CWE-79

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是立即将 LatePoint – Calendar Booking Plugin for Appointments and Events 插件升级至 5.5.1 或更高版本。如果无法立即升级,可以尝试以下临时缓解措施:首先,禁用或删除 bookingformpage_url 参数,以防止攻击者注入恶意脚本。其次,实施严格的输入验证和输出编码策略,以防止 XSS 攻击。使用 WordPress 的安全插件可以帮助自动执行这些策略。最后,定期扫描 WordPress 网站,以检测潜在的 XSS 漏洞。

修复方法

更新至 5.5.1 版本,或更新的补丁版本

常见问题

什么是 CVE-2026-7332 — XSS 在 LatePoint 日历预订插件中?

CVE-2026-7332 是 LatePoint – Calendar Booking Plugin for Appointments and Events 插件的一个存储型跨站脚本攻击(XSS)漏洞,影响版本小于等于 5.5.0。攻击者可以注入恶意脚本,并在用户访问页面时执行。

我是否受到 CVE-2026-7332 在 LatePoint 日历预订插件中影响?

如果您正在使用 LatePoint – Calendar Booking Plugin for Appointments and Events 插件的版本小于 5.5.1,那么您可能受到此漏洞的影响。请立即检查您的插件版本。

如何修复 CVE-2026-7332 在 LatePoint 日历预订插件中?

最有效的修复方法是立即将 LatePoint – Calendar Booking Plugin for Appointments and Events 插件升级至 5.5.1 或更高版本。如果无法立即升级,请考虑临时缓解措施,例如禁用或删除 bookingformpage_url 参数。

CVE-2026-7332 是否正在被积极利用?

目前尚未公开发现针对此漏洞的利用代码,但由于其严重程度评分为高,存在被利用的风险。建议密切关注安全社区的动态。

在哪里可以找到官方 LatePoint 插件针对 CVE-2026-7332 的公告?

请访问 LatePoint 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告和修复信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描
live免费扫描

立即扫描您的WordPress项目 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...