Event Koi Lite 1.3.13.1 REST API 未授权敏感信息泄露 (CVE-2026-10029)

漏洞概述 漏洞名称: Event Koi Lite <= 1.3.13.1 - Missing Authorization to Unauthenticated Sensitive Information Exposure via REST API Endpoints CVE编号: CVE-2026-10029 CVSS评分: 5.3 (Medium) 发布日期: 2026年6月17日 最后更新日期: 2026年6月18日 研究人员: Umut Can Yurdakul 影响范围 软件类型: 插件 软件名称: Event Koi Lite – Events Calendar, Event Management, RSVP, and Tickets 受影响版本: <= 1.3.13.1 漏洞描述: Event Koi Lite 插件在1.3.13.1及更早版本中存在敏感信息暴露漏洞。攻击者可以通过未认证的REST API端点提取敏感数据，包括虚拟会议URL、物理位置数据、经纬度坐标、Google Maps链接和RSVP配置，这些数据原本仅对草稿、待审核和私有事件可见。 修复方案 修复版本: 1.3.14.0 或更高版本 建议操作: 更新到1.3.14.0或更新版本以修复此漏洞。 其他信息 参考链接: 多个plugins.trac.wordpress.org链接 分享选项: 提供Facebook、Twitter、LinkedIn和Email分享按钮 版权信息 版权: 2012-2026 Defiant Inc. 许可证: 根据Defiant的许可条款使用 联系方式 技术支持: 24小时支持，365天服务，响应时间1小时 业务时间: 9am-6pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT（不包括周末和节假日） 页脚信息 服务条款: 隐私政策和通知收集 产品: Wordfence Free, Wordfence Premium, Wordfence Care, Wordfence Response, Wordfence CLI, Wordfence Central 支持: 文档, 学习中心, 免费支持, 高级支持 新闻: 博客, 新闻, 漏洞建议 关于: 关于Wordfence, 联盟计划, 就业, 联系, 安全, CVE请求表单 订阅: 订阅新闻和更新 总结 该漏洞涉及Event Koi Lite插件的敏感信息暴露问题，建议用户尽快更新至1.3.14.0或更高版本以修复此漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Event Koi Lite 1.3.13.1 REST API 未授权敏感信息泄露 (CVE-2026-10029)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！