CVE-2026-4911

Nome do Software Vulnerável e Versões Afetadas Booking Package versões anteriores a 1.7.07

Descrição A Manipulação de Preços ocorre porque a função intentForStripe() passa a variável $ POST['amount'], controlada pelo usuário, diretamente para a API Stripe PaymentIntent sem validação. Além disso, a função commitStripe() ignora o valor calculado pelo servidor durante a confirmação do pagamento. Embora a função getAmount() calcule corretamente os custos com base em serviços, hóspedes, impostos e cupons, esse valor não é validado em relação ao PaymentIntent porque o código necessário no arquivo CreditCard.php está comentado. Isso permite que invasores não autenticados reservem serviços a preços arbitrários manipulando o parâmetro amount durante a criação do PaymentIntent.

Recomendações Atualize o plugin para uma versão posterior a 1.7.06.