The Booking Calendar Contact Form plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 1.2.63 via the dex_bccf_admin_int_calendar_list.inc.php file due to missing validation on a user controlled key. This makes it possible for authenticated attackers, with Subscriber-level access and above, to takeover other user's calendars and view user data associated with the calendar.
The Booking Calendar Contact Form WordPress plugin contains an Insecure Direct Object Reference vulnerability allowing authenticated subscribers to takeover other users' calendars and access associated user data. This affects all versions up to 1.2.63 and requires missing validation on user-controlled parameters.
تحتوي إضافة Booking Calendar Contact Form على ثغرة مرجع كائن مباشر غير آمن (IDOR) في ملف dex_bccf_admin_int_calendar_list.inc.php بسبب عدم التحقق من صحة المفاتيح التي يتحكم بها المستخدم. يمكن للمهاجمين المصرح لهم على مستوى المشترك أو أعلى الاستيلاء على تقاويم المستخدمين الآخرين والوصول إلى بيانات المستخدم المرتبطة بالتقويم.
The Booking Calendar Contact Form WordPress plugin contains an Insecure Direct Object Reference vulnerability allowing authenticated subscribers to takeover other users' calendars and access associated user data. This affects all versions up to 1.2.63 and requires missing validation on user-controlled parameters.
Update the Booking Calendar Contact Form plugin to version 1.2.64 or later immediately. Implement proper input validation and access controls on the dex_bccf_admin_int_calendar_list.inc.php file. Restrict calendar access to authorized users only and audit existing calendar access logs for unauthorized activities.
قم بتحديث إضافة Booking Calendar Contact Form إلى الإصدار 1.2.64 أو أحدث فوراً. قم بتطبيق التحقق الصحيح من المدخلات والتحكم في الوصول على ملف dex_bccf_admin_int_calendar_list.inc.php. قيد الوصول إلى التقويم للمستخدمين المصرح لهم فقط وقم بمراجعة سجلات الوصول إلى التقويم الموجودة للأنشطة غير المصرح بها.