CVE-2026-11901 in WP Hotel Booking Plugin
Resumen
por VulDB • 2026-07-11
El plugin WP Hotel Booking para WordPress presenta una vulnerabilidad de Verificación Insuficiente de la Autenticidad de los Datos en todas las versiones hasta, e incluyendo, la 2.3.1. Esto se debe a que el manejador IPN `web_hook_process_paypal_standard()` selecciona su punto final de validación de PayPal desde el parámetro `$_REQUEST['test_ipn']` controlado por el atacante, forzando la actualización de cualquier transacción con estado `pending` (pendiente) a `completed` (completada) cuando `test_ipn=1`, y omitiendo las comprobaciones posteriores a la verificación sobre la unicidad de `receiver_email`, `mc_currency` y `txn_id` tras recibir una respuesta `VERIFIED` de PayPal. Esto permite que atacantes no autenticados marquen reservas de hotel arbitrarias como totalmente pagadas sin realizar un pago genuino al comerciante, ya sea mediante el enrutamiento de la validación IPN a través del sandbox de PayPal utilizando una cuenta sandbox gratuita o repitiendo un IPN previamente verificado procedente de un pago nominal hacia una cuenta de PayPal controlada por el atacante. Un atacante solo necesita una cuenta sandbox de PayPal (o cualquier cuenta de PayPal) para obtener una respuesta `VERIFIED`; no se requieren credenciales del sitio ni configuración especial.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.