CVE-2026-8684

Nome do Software Vulnerável e Versões Afetadas MotoPress Hotel Booking versões anteriores a 6.0.2

Descrição O plugin MotoPress Hotel Booking para WordPress contém uma falha de bypass de autorização resultante da verificação inadequada das permissões do usuário. Atacantes não autenticados podem sobrescrever ou excluir notas internas ao fornecer um ID de reserva arbitrário. Isso é possível porque o nonce necessário é exposto no código-fonte HTML de todas as páginas públicas via wp localize script na variável MPHB. data.nonces, permitindo que qualquer visitante realize a ação sem possuir uma conta. A variável afetada é mphb booking internal notes.

Recomendações Atualize para a versão 6.0.2 ou posterior.