PT-2025-46323 · WordPress+1 · Hydra Booking+1
Ahmad Salem
·
Publicado
2025-11-11
·
Atualizado
2025-11-11
·
CVE-2025-12788
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Hydra Booking — Plugin de Agendamento de Compromissos e Calendário de Reservas para WordPress versões anteriores à 1.1.28
Descrição
O plugin Hydra Booking para WordPress possui uma falha na qual a verificação de pagamento está ausente, permitindo que usuários não autenticados contornem os requisitos de pagamento. Isso ocorre porque o plugin aceita dados de confirmação de pagamento fornecidos pelo cliente na função
tfhb meeting paypal payment confirmation callback sem validá-los com a API do PayPal. Isso permite que atacantes confirmem reservas como pagas sem realizar um pagamento efetivo.Recomendações
Atualize o plugin Hydra Booking para a versão 1.1.28 ou posterior.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hydra Booking
Paypal