← voltar
CVE-2026-9576

Fluent Booking < 2.1.2 - Calendar Manager+ Sensitive Information Disclosure via Attendee Export

CVSS 4.9 MEDIUMEPSS 0.2%
Vexday Risk Score
33Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 4.9EPSS 0.2%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
30 jun 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
The Fluent Booking WordPress plugin before 2.1.2 does not verify ownership of the requested group_id before exporting attendee data via the export endpoint, allowing users with at least the Calendar Manager role to retrieve attendees' PII (name, email, phone, address, payment information) from calendar groups they do not own.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
Unknown · Fluent Booking
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.