WordPress · Wp Hotel Booking · CVE-2026-11901
**Nome do Software Vulnerável e Versões Afetadas**
WP Hotel Booking versões anteriores a 2.3.2
**Description**
A Verificação Insuficiente da Autenticidade dos Dados permite que atacantes não autenticados marquem reservas de hotel como pagas sem realizar o pagamento real. O problema reside no manipulador de IPN `web hook process paypal standard()`, que permite a seleção do endpoint de validação do PayPal através do parâmetro `$ REQUEST['test ipn']` controlado pelo atacante. Quando `test ipn` é definido como `1`, transações pendentes são forçadas para o status de concluídas. Além disso, o sistema não realiza verificações pós-validação no `receiver email`, `mc currency` e na unicidade do `txn id` após receber uma resposta verificada. Atacantes podem explorar isso roteando a validação através de uma conta sandbox do PayPal ou repetindo um IPN previamente verificado de um pagamento nominal.
**Recommendations**
Atualize o plugin para a versão 2.3.2 ou posterior.
Como mitigação temporária, restrinja ou desative o uso do parâmetro `test ipn` na função `web hook process paypal standard()`.