CVE-2026-12433 in Hydra Booking Plugin
要約
〜によって VulDB • 2026年07月09日
WordPress用プラグイン「Hydra Booking – Appointment Scheduling & Booking Calendar」には、バージョン1.2.1以前において、Insecure Direct Object Reference(IDOR)の脆弱性が存在します。この脆弱性は、/wp-json/hydra-booking/v1/booking/details/{id} RESTエンドポイント経由で発生します。これは、getBookingDetails()コールバックがtfhb_manage_options_permission()を通じてtfhb_manage_options権限のみを強制しているものの、要求された予約が現在認証されているホスト(管理者)に属するものであるかどうかを検証していないためです。getBookingDetailsData()内のルックアップはURLで指定された予約IDに対してのみフィルタリングを行います。これにより、Hydra Hostレベル以上のアクセス権限を持つ攻撃者(このプラグインによって作成され、tfhb_manage_optionsを付与するロール)が、予約IDをイテレートすることで、他のホストに属する機密性の高い予約レコード(参加者の氏名、メールアドレス、電話番号、住所、面談詳細、支払い方法とステータス、取引履歴、内部メモなど)を表示することが可能になります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.