PT-2022-18649 · E4J S.R.L. · Vikbooking Hotel Booking Engine & Pms
Huli
·
Publicado
2022-04-19
·
Atualizado
2022-04-28
·
CVE-2022-27863
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
E4J s.r.l. VikBooking Hotel Booking Engine & PMS plugin, versões <= 1.5.3
Descrição
A vulnerabilidade permite que invasores obtenham dados de reservas adivinhando ou utilizando força bruta em IDs de reserva facilmente previsíveis por meio de solicitações POST de pesquisa para pontos de extremidade da API, como
/api/search. A variável booking id está vulnerável a esse tipo de ataque. Isso pode levar à exposição de informações confidenciais.Recomendações
Para as versões <= 1.5.3 do plugin E4J s.r.l. VikBooking Hotel Booking Engine & PMS, atualize para uma versão superior a 1.5.3 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de pesquisa para minimizar o risco de exploração. Evite usar valores
booking id facilmente previsíveis no endpoint da API afetado até que o problema seja resolvido.Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vikbooking Hotel Booking Engine & Pms