CVE-2026-11901 in WP Hotel Booking Plugininformação

Sumário

de VulDB • 11/07/2026

O plugin WP Hotel Booking para WordPress é vulnerável à Insufficient Verification of Data Authenticity em todas as versões até, e incluindo, 2.3.1. Isso ocorre devido ao manipulador de IPN `web_hook_process_paypal_standard()` selecionar seu endpoint de validação do PayPal a partir do parâmetro `$_REQUEST['test_ipn']` controlado pelo atacante, forçando a atualização de qualquer transação com status `pending` para `completed` quando `test_ipn=1`, e omitindo verificações pós-verificação na unicidade dos campos `receiver_email`, `mc_currency` e `txn_id` após receber uma resposta `VERIFIED` do PayPal. Isso permite que atacantes não autenticados marquem reservas de hotel arbitrárias como totalmente pagas sem submeter um pagamento genuíno ao comerciante — seja roteando a validação do IPN através da sandbox do PayPal usando uma conta sandbox gratuita, ou retransmitindo (replay) um IPN previamente verificado de um pagamento nominal para uma conta PayPal controlada pelo atacante. Um atacante requer apenas uma conta sandbox gratuita do PayPal (ou qualquer conta PayPal) para obter uma resposta `VERIFIED`; não são necessárias credenciais do site nem configuração especial.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Wordfence

Reservar

10/06/2026

Divulgação

11/07/2026

Moderação

aceite

Entrada

VDB-377756

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!