CVE-2026-12433 in Hydra Booking Plugininformação

Sumário

de VulDB • 09/07/2026

O plugin Hydra Booking – Appointment Scheduling & Booking Calendar para WordPress é vulnerável a Referência Direta de Objeto Insegura (IDOR) nas versões até 1.2.1, inclusive, por meio do endpoint REST /wp-json/hydra-booking/v1/booking/details/{id}. Isso ocorre porque o callback getBookingDetails() aplica apenas a capacidade tfhb_manage_options via tfhb_manage_options_permission(), sem verificar se a reserva solicitada pertence ao anfitrião atualmente autenticado (a consulta em getBookingDetailsData() filtra exclusivamente pelo ID da reserva fornecido na URL). Isso permite que atacantes autenticados, com acesso de nível Hydra Host e superior (uma função criada pelo plugin que concede tfhb_manage_options), visualizem registros sensíveis de reservas pertencentes a outros anfitriões, incluindo nomes dos participantes, endereços de e-mail, números de telefone, endereços físicos, detalhes da reunião, método e status de pagamento, histórico de transações e notas internas, por meio da iteração em IDs de reserva.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

Wordfence

Reservar

16/06/2026

Divulgação

09/07/2026

Moderação

aceite

Entrada

VDB-377165

CPE

pronto

EPSS

0.00435

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!