CVE-2026-9822
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Wtyczka WP Hotel Booking dla WordPressa w wersjach przed 2.3.1 nie wymusza sprawdzania uprawnień w kilku swoich handlerach AJAX, co pozwala uwierzytelnionym użytkownikom z poziomem dostępu Subskrybenta na przeglądanie rezerwacji innych użytkowników, enumerowanie aktywnych kuponów oraz odczytywanie danych cenowych.
Ocena ryzyka
Organizacja może być narażona na wyciek danych dotyczących rezerwacji oraz informacji o kuponach, co może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację wtyczki WP Hotel Booking do wersji 2.3.1 lub nowszej, aby zlikwidować lukę w zabezpieczeniach.
Oryginalny opis (angielski, źródło NVD)
The WP Hotel Booking WordPress plugin before 2.3.1 does not enforce capability checks in several of its AJAX handlers, allowing authenticated users with Subscriber-level access to read other users' booking line items, enumerate active coupons, and read pricing data.

