Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Appointment Booking Calendar <= 1.6.11.8 - Missing Authorization to Unauthenticated Arbitrary Modification via Bulk Appointments REST API Endpoint en Simply Schedule Appointments (falta de autorizacion) - version 1.6.11.9

PLUGIN MEDIUM CVE-2026-6937

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Simply Schedule Appointments, que permite modificaciones no autorizadas a través de un endpoint de la API REST. Este fallo puede impactar la integridad de los datos en entornos que utilizan este componente.

Contexto técnico

El fallo se encuentra en la versión 1.6.11.8 del plugin Simply Schedule Appointments, donde se presenta una falta de autorización en el endpoint de la API REST para la modificación de citas. Esto permite a un atacante no autenticado realizar cambios arbitrarios en las citas sin necesidad de credenciales.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante modificar información crítica de las citas, lo que podría llevar a la pérdida de datos y afectar la confianza de los usuarios en el sistema. La severidad se clasifica como media, con un CVSS de 5.3.

Vector de explotación

El vector de explotación se basa en el uso del endpoint de la API REST sin la debida autorización, lo que permite a los atacantes enviar solicitudes maliciosas para modificar datos de citas.

Mitigación recomendada

Actualizar el plugin Simply Schedule Appointments a la versión 1.6.11.9 o superior para corregir la vulnerabilidad. Revisar los logs de acceso para identificar posibles intentos de explotación. Implementar medidas de seguridad adicionales, como la autenticación de dos factores, para proteger el acceso a la administración del plugin.

Señales de detección

Señales que pueden indicar riesgo incluyen registros de acceso inusuales al endpoint de la API REST y modificaciones inesperadas en las citas programadas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.6.11.9. No se han confirmado otros escenarios que puedan estar en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

simply-schedule-appointments

Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin <= 1.6.11.5 - Unauthenticated Denial of Service

Ver ficha
MEDIUM PLUGIN

simply-schedule-appointments

Appointment Booking Calendar <= 1.6.10.6 - Unauthenticated Arbitrary Appointment View, Modification and Deletion

Ver ficha
MEDIUM PLUGIN

simply-schedule-appointments

Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin < 1.6.11.2 - Unauthenticated Sensitive Information Exposure

Ver ficha
HIGH PLUGIN

simply-schedule-appointments

Appointment Booking Calendar <= 1.6.9.29 - Missing Authorization to Unauthenticated Sensitive Information Exposure via Settings REST API Endpoint

Ver ficha
MEDIUM PLUGIN

simply-schedule-appointments

Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin <= 1.6.9.5 - Unauthenticated Sensitive Information Exposure

Ver ficha
MEDIUM PLUGIN

simply-schedule-appointments

Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin <= 1.6.9.16 - Missing Authorization to Unauthenticated Sensitive Information Exposure

Ver ficha
HIGH PLUGIN

simply-schedule-appointments

Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin <= 1.6.8.5 - Unauthenticated Arbitrary Shortcode Execution

Ver ficha
MEDIUM PLUGIN

simply-schedule-appointments

Simply Schedule Appointments <= 1.5.7.5 - Unauthenticated Sensitive Information Exposure

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad