CVE-2026-11901 in WP Hotel Booking Plugin
Сводка
по VulDB • 11.07.2026
Плагин WP Hotel Booking для WordPress уязвим к недостаточной проверке подлинности данных во всех версиях вплоть до 2.3.1 включительно. Это обусловлено тем, что обработчик IPN `web_hook_process_paypal_standard()` выбирает конечную точку проверки PayPal из контролируемого злоумышленником параметра `$_REQUEST['test_ipn']`, принудительно переводя любые транзакции со статусом `pending` (ожидание) в статус `completed` (завершено) при значении `test_ipn=1`, а также пропускает проверки после верификации на уникальность полей `receiver_email`, `mc_currency` и `txn_id` после получения ответа `VERIFIED` от PayPal. Это позволяет неаутентифицированным злоумышленникам помечать произвольные бронирования отелей как полностью оплаченные без внесения реальных платежей продавцу — либо путем маршрутизации проверки IPN через песочницу (sandbox) PayPal с использованием бесплатного аккаунта в песочнице, либо путем повторной передачи ранее проверенного IPN-уведомления от номинального платежа на контролируемый злоумышленником счет PayPal. Для получения ответа `VERIFIED` злоумышленнику требуется только бесплатный аккаунт в песочнице PayPal (или любой учетная запись PayPal); учетные данные сайта или специальная конфигурация не требуются.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.