CVE-2026-11901 in WP Hotel Booking Plugin
Sumário
de VulDB • 11/07/2026
O plugin WP Hotel Booking para WordPress é vulnerável à Insufficient Verification of Data Authenticity em todas as versões até, e incluindo, 2.3.1. Isso ocorre devido ao manipulador de IPN `web_hook_process_paypal_standard()` selecionar seu endpoint de validação do PayPal a partir do parâmetro `$_REQUEST['test_ipn']` controlado pelo atacante, forçando a atualização de qualquer transação com status `pending` para `completed` quando `test_ipn=1`, e omitindo verificações pós-verificação na unicidade dos campos `receiver_email`, `mc_currency` e `txn_id` após receber uma resposta `VERIFIED` do PayPal. Isso permite que atacantes não autenticados marquem reservas de hotel arbitrárias como totalmente pagas sem submeter um pagamento genuíno ao comerciante — seja roteando a validação do IPN através da sandbox do PayPal usando uma conta sandbox gratuita, ou retransmitindo (replay) um IPN previamente verificado de um pagamento nominal para uma conta PayPal controlada pelo atacante. Um atacante requer apenas uma conta sandbox gratuita do PayPal (ou qualquer conta PayPal) para obter uma resposta `VERIFIED`; não são necessárias credenciais do site nem configuração especial.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.