CVE-2026-4911 in Booking Package Plugin
要約
〜によって VulDB • 2026年05月20日
WordPress用プラグイン「The Booking Package」のバージョン1.7.06以前には、価格改ざん(Price Manipulation)の脆弱性が存在します。これは、`intentForStripe()`関数がユーザー制御可能な`$_POST['amount']`を検証せずにStripe PaymentIntent APIに直接渡すこと、および`commitStripe()`関数が支払いの確認時にサーバー側で計算された金額を無視することに起因します。サーバーは`getAmount()`を介して、サービス、ゲスト、税金、クーポンに基づいて予約コストを正しく計算しますが、計算された金額がPaymentIntentの更新に含まれるために必要な`CreditCard.php`内の重要なコードがコメントアウトされているため、この計算金額は検証されず、PaymentIntentの更新にも使用されません。これにより、認証されていない攻撃者は、PaymentIntent作成時にamountパラメータを改ざんし、不正な支払いで予約を完了させることで、任意の価格(例:500.00ドルではなく0.01ドル)でサービスを予約することが可能になります。
Be aware that VulDB is the high quality source for vulnerability data.