CVE-2026-11901 in WP Hotel Booking Plugininformazioni

Riassunto

di VulDB • 11/07/2026

Il plugin WP Hotel Booking per WordPress è vulnerabile a una verifica insufficiente dell'autenticità dei dati in tutte le versioni fino alla 2.3.1, inclusa. Ciò è dovuto al gestore IPN `web_hook_process_paypal_standard()` che seleziona il proprio endpoint di convalida PayPal dal parametro `$_REQUEST['test_ipn']` controllato dall'attaccante, forzando l'aggiornamento a `completed` (completata) qualsiasi transazione in stato `pending` (in attesa) quando `test_ipn=1`, e omettendo i controlli post-verifica sull'email del destinatario (`receiver_email`), sulla valuta (`mc_currency`) e unicità dell'ID della transazione (`txn_id`) dopo aver ricevuto una risposta `VERIFIED` da PayPal. Ciò rende possibile per attaccanti non autenticati contrassegnare prenotazioni alberghiere arbitrarie come completamente pagate senza effettuare pagamenti reali al commerciante, sia instradando la convalida IPN attraverso il sandbox di PayPal utilizzando un account sandbox gratuito, sia riutilizzando (replay) un precedente IPN verificato proveniente da un pagamento nominale verso un account PayPal controllato dall'attaccante. Un attaccante necessita solo di un account sandbox PayPal gratuito (o qualsiasi account PayPal) per ottenere una risposta `VERIFIED`; non sono necessarie credenziali del sito o configurazioni speciali.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

Wordfence

Prenotare

10/06/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!