通过 My Calendar 的 Multisite switch_to_blog 未经身份验证的信息泄露 (IDOR)
平台
php
组件
my-calendar
修复版本
3.7.8
3.7.7
CVE-2026-40308 是 My Calendar 插件中的一个安全漏洞,属于信息泄露 (Information Disclosure) 和拒绝服务 (Denial of Service, DoS) 漏洞。攻击者可以利用此漏洞未经身份验证地提取 WordPress Multisite 网络中任何子站点的日历事件,甚至包括私有或隐藏的事件。在标准单站点 WordPress 安装中,该漏洞会导致 PHP 工作线程崩溃,从而形成未经身份验证的拒绝服务攻击。该漏洞影响 My Calendar 3.7.6 之前的版本,已于 3.7.7 版本修复。
影响与攻击场景
CVE-2026-40308 是 My Calendar 插件中的一个严重漏洞,尤其对 WordPress 多站点环境下的网站构成风险。它允许未经身份验证的攻击者访问多站点网络中任何子域中的私有或隐藏的日历事件,从而危及数据机密性。在单站点 WordPress 安装中,利用此漏洞可能导致 PHP 工作线程崩溃,从而导致拒绝服务 (DoS) 攻击,中断网站的可用性。
利用背景
攻击者可以通过向 mc_ajax 端点发送精心制作的 HTTP 请求来利用此漏洞。通过操纵请求参数,攻击者可以绕过访问控制并检索通常受保护的日历信息。在单站点安装中,恶意请求可能会使 PHP 工作线程过载,从而导致崩溃和拒绝服务。由于利用漏洞不需要身份验证,因此使其特别危险。
威胁情报
漏洞利用状态
EPSS
2.23% (85% 百分位)
CISA SSVC
受影响的软件
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
- 修改日期
- EPSS 更新日期
缓解措施和替代方案
建议立即将 My Calendar 插件更新到 3.7.7 或更高版本。此版本包含修复程序,以解决 IDOR 和 DoS 漏洞。此外,请审查并加强您网站的安全策略,包括实施强大的身份验证并限制对敏感资源的访问。监控服务器日志以查找可疑活动对于检测和响应潜在攻击也至关重要。
修复方法翻译中…
Actualice el plugin My Calendar a la versión 3.7.7 o superior para mitigar la vulnerabilidad de divulgación de información no autenticada. Esta actualización corrige la forma en que se manejan los argumentos de entrada, previniendo la extracción de eventos de calendario de otros sitios en una instalación de WordPress Multisite.
CVE 安全通讯
漏洞分析和关键警报直接发送到您的邮箱。
常见问题
CVE-2026-40308 是什么 — My Calendar 中的 Denial of Service (DoS)?
IDOR (不安全的直接对象引用) 发生在 Web 应用程序允许用户使用可预测或可操作的标识符访问内部对象,而没有适当的授权检查时。
My Calendar 中的 CVE-2026-40308 是否会影响我?
DoS 代表拒绝服务。这是一种尝试使在线服务对其合法用户不可用的攻击,通常是通过流量或请求过载系统来实现的。
如何修复 My Calendar 中的 CVE-2026-40308?
如果无法立即更新,请考虑实施临时缓解措施,例如通过 Web 应用程序防火墙 (WAF) 限制对易受攻击端点的访问。
CVE-2026-40308 是否正在被积极利用?
检查您网站上 My Calendar 插件的版本。如果您使用的是 3.7.7 之前的版本,则容易受到攻击。
在哪里可以找到 My Calendar 关于 CVE-2026-40308 的官方安全通告?
有一些 WordPress 漏洞扫描器可以检测此漏洞。请参阅您的安全提供商的文档以获取更多信息。