CVE-2026-11901 in WP Hotel Booking PluginИнформация

Сводка

по VulDB • 11.07.2026

Плагин WP Hotel Booking для WordPress уязвим к недостаточной проверке подлинности данных во всех версиях вплоть до 2.3.1 включительно. Это обусловлено тем, что обработчик IPN `web_hook_process_paypal_standard()` выбирает конечную точку проверки PayPal из контролируемого злоумышленником параметра `$_REQUEST['test_ipn']`, принудительно переводя любые транзакции со статусом `pending` (ожидание) в статус `completed` (завершено) при значении `test_ipn=1`, а также пропускает проверки после верификации на уникальность полей `receiver_email`, `mc_currency` и `txn_id` после получения ответа `VERIFIED` от PayPal. Это позволяет неаутентифицированным злоумышленникам помечать произвольные бронирования отелей как полностью оплаченные без внесения реальных платежей продавцу — либо путем маршрутизации проверки IPN через песочницу (sandbox) PayPal с использованием бесплатного аккаунта в песочнице, либо путем повторной передачи ранее проверенного IPN-уведомления от номинального платежа на контролируемый злоумышленником счет PayPal. Для получения ответа `VERIFIED` злоумышленнику требуется только бесплатный аккаунт в песочнице PayPal (или любой учетная запись PayPal); учетные данные сайта или специальная конфигурация не требуются.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

Wordfence

Резервировать

10.06.2026

Раскрытие

11.07.2026

Модерация

принято

Вход

VDB-377756

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Сектор

Hostingprovider

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!