CVE-2026-9576
Fluent Booking < 2.1.2 - Calendar Manager+ Sensitive Information Disclosure via Attendee Export
Vexday Risk Score
33Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
CVSS 4.9EPSS 0.2%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
30 jun 2026Publicada en NVD
Recomendación: Planificar corrección próxima — ya existe PoC pública.
The Fluent Booking WordPress plugin before 2.1.2 does not verify ownership of the requested group_id before exporting attendee data via the export endpoint, allowing users with at least the Calendar Manager role to retrieve attendees' PII (name, email, phone, address, payment information) from calendar groups they do not own.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Productos afectados
Unknown · Fluent BookingPoCs públicas encontradas — 1
cve_referencewpscan.com/vulnerability/f28759e0-f15e-4014-b0d1-8b58bf412b49/no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.