Katalog CVE

CVE-2026-9822

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Wtyczka WP Hotel Booking dla WordPressa w wersjach przed 2.3.1 nie wymusza sprawdzania uprawnień w kilku swoich handlerach AJAX, co pozwala uwierzytelnionym użytkownikom z poziomem dostępu Subskrybenta na przeglądanie rezerwacji innych użytkowników, enumerowanie aktywnych kuponów oraz odczytywanie danych cenowych.

Ocena ryzyka

Organizacja może być narażona na wyciek danych dotyczących rezerwacji oraz informacji o kuponach, co może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji.

Rekomendacja

Zaleca się aktualizację wtyczki WP Hotel Booking do wersji 2.3.1 lub nowszej, aby zlikwidować lukę w zabezpieczeniach.

Oryginalny opis (angielski, źródło NVD)

The WP Hotel Booking WordPress plugin before 2.3.1 does not enforce capability checks in several of its AJAX handlers, allowing authenticated users with Subscriber-level access to read other users' booking line items, enumerate active coupons, and read pricing data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS