The Easy Appointments plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 3.12.21 via the `/wp-json/wp/v2/eablocks/ea_appointments/` REST API endpoint. This is due to the endpoint being registered with `'permission_callback' => '__return_true'`, which allows access without any authentication or authorization checks. This makes it possible for unauthenticated attackers to extract sensitive customer appointment data including full names, email addresses, phone numbers, IP addresses, appointment descriptions, and pricing information.
The Easy Appointments WordPress plugin versions up to 3.12.21 expose sensitive customer data through an unauthenticated REST API endpoint due to missing permission checks. Attackers can extract appointment details including names, emails, phone numbers, and pricing without authentication.
يسمح مكون Easy Appointments بالوصول غير المصرح به إلى بيانات المواعيد الحساسة من خلال نقطة نهاية REST API مسجلة بدون فحوصات الأذونات. يمكن لأي مهاجم الوصول إلى معلومات شخصية وتفاصيل الأسعار والعناوين دون الحاجة لأي بيانات اعتماد.
يتعرض مكون Easy Appointments لـ WordPress في الإصدارات حتى 3.12.21 لتسرب بيانات العملاء الحساسة عبر نقطة نهاية REST API غير محمية. يمكن للمهاجمين استخراج تفاصيل المواعيد بما في ذلك الأسماء والبريد الإلكتروني والهواتف دون مصادقة.
Update Easy Appointments plugin to version 3.12.22 or later immediately. If immediate update is not possible, disable the plugin or implement Web Application Firewall rules to restrict access to the vulnerable REST API endpoint /wp-json/wp/v2/eablocks/ea_appointments/. Review access logs for unauthorized API access and audit exposed customer data.
قم بتحديث مكون Easy Appointments إلى الإصدار 3.12.22 أو أحدث فوراً. إذا لم يكن التحديث ممكناً، قم بتعطيل المكون أو تطبيق قواعد جدار الحماية لتقييد الوصول إلى نقطة النهاية. راجع سجلات الوصول للكشف عن الوصول غير المصرح به وتدقيق البيانات المكشوفة.