CVE-2026-11901 in WP Hotel Booking Plugin
الملخص
بحسب VulDB • 11/07/2026
يحتوي إضافة WP Hotel Booking لـ WordPress على ثغرة تتعلق بعدم التحقق الكافي من أصالة البيانات في جميع الإصدارات حتى 2.3.1 وشاملاً لها. ويعود ذلك إلى أن معالج IPN `web_hook_process_paypal_standard()` يختار نقطة نهاية التحقق الخاصة ببايبال (PayPal) بناءً على المعلمة `$_REQUEST['test_ipn']` التي يتحكم فيها المهاجم، مما يؤدي إلى ترقية أي معاملة في حالة "قيد الانتظار" (`pending`) تلقائياً إلى "مكتملة" (`completed`) عند تعيين `test_ipn=1`. كما يغفل المعالج إجراء فحوصات ما بعد التحقق على بريد المستلم الإلكتروني (`receiver_email`)، وعملة المعاملة (`mc_currency`)، وفريدة رقم المعاملة (`txn_id`) بعد استجابة `VERIFIED` من بايبال. وهذا يتيح للمهاجمين غير المصادق عليهم تحديد حجوزات الفنادق بشكل تعسفي كمدفوعة بالكامل دون تقديم دفع حقيقي للتاجر — إما عن طريق توجيه التحقق من IPN عبر بيئة الاختبار (sandbox) الخاصة ببايبال باستخدام حساب اختبار مجاني، أو بإعادة تشغيل استجابة IPN تم التحقق منها مسبقاً ناتجة عن دفعة رمزية إلى حساب بايبال يتحكم فيه المهاجم. ولا يحتاج المهاجم سوى إلى حساب اختبار بايبال مجاني (أو أي حساب بايبال) للحصول على استجابة `VERIFIED`؛ فلا حاجة لمعلومات اعتماد الموقع أو تكوين خاص.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.