CVE-2026-11901 in WP Hotel Booking Plugin
요약
\~에 의해 VulDB • 2026. 07. 11.
WordPress용 WP Hotel Booking 플러그인은 2.3.1 버전을 포함하여 모든 버전에서 데이터 진위성 검증 부족(Insufficient Verification of Data Authenticity) 취약점이 존재합니다. 이는 `web_hook_process_paypal_standard()` IPN 핸들러가 PayPal 유효성 검사 엔드포인트를 공격자가 제어하는 `$_REQUEST['test_ipn']` 매개변수로부터 선택하고, `test_ipn=1`일 때 모든 `pending`(대기 중) 트랜잭션을 무조건 `completed`(완료됨)로 강제 업그레이드하며, PayPal에서 `VERIFIED`(검증 완료) 응답을 받은 후에도 `receiver_email`, `mc_currency`, 그리고 `txn_id` 고유성에 대한 사후 검증 체크를 생략하기 때문입니다. 이를 통해 공격자는 상인에게 실제 결제를 제출하지 않고도 임의의 호텔 예약을 완전히 결제된 상태로 표시할 수 있습니다. 이는 무료 샌드박스 계정을 사용하여 IPN 유효성 검사를 PayPal 샌드박스로 우회하거나, 소액 결제에서 검증된 이전 IPN을 재전송하여 공격자가 제어하는 PayPal 계정 대상으로 수행함으로써 가능합니다. 공격자는 `VERIFIED` 응답을 얻기 위해 무료 PayPal 샌드박스 계정(또는 일반 PayPal 계정)만 있으면 되며, 사이트 자격 증명이나 특별한 구성 설정은 필요하지 않습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.