CVE-2026-24523CVE-2026-24523是WordPress插件WP FullCalendar中的一个敏感信息泄露漏洞。该漏洞属于"暴露敏感系统信息给未授权控制范围"类型,CVSS 3.1评分5.3,中等严重程度。漏洞存在于WP FullCalendar插件中,允许未经认证的攻击者检索嵌入在日历中的敏感数据。受影响版本从n/a版本至1.6及以下版本。该漏洞由Patchstack团队的安全审计人员发现并报告。攻击者可通过网络远程利用此漏洞,无需任何认证或用户交互即可获取敏感信息。虽然机密性影响评估为低,但敏感数据的泄露仍可能为后续攻击提供有价值的情报支持。此漏洞披露于2026年1月23日,建议受影响用户立即采取修复措施。
该漏洞位于WP FullCalendar插件的日历数据展示功能模块中。插件在处理日历事件查询时,未正确实施访问控制机制,导致任何未认证用户均可通过构造特定的HTTP请求访问原本应该受限的日历数据内容。漏洞本质是典型的Broken Access Control(访问控制失效)问题,CVSS向量AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N明确表明攻击复杂度低、无需认证和用户交互。攻击者可能通过遍历参数或直接请求API端点获取包含敏感信息的日历条目,如内部日程安排、联系信息或其他不应公开的业务数据。由于漏洞影响的是数据机密性而非完整性或可用性,CVSS将机密性影响标记为低。在实际攻击场景中,攻击者可能结合其他漏洞或社工手段进一步利用获取的信息。