PT-2026-54622 · WordPress · Vikbooking Hotel Booking Engine & Pms

Prism

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-12754

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas VikBooking Hotel Booking Engine & PMS plugin for WordPress versões anteriores a 1.8.13
Descrição A sanitização insuficiente de entrada e a falta de escape de saída permitem que atacantes não autenticados realizem Reflected Cross-Site Scripting. Isso ocorre quando o parâmetro layoutstyle é processado no contexto do shortcode [vikbooking view="roomslist"], permitindo a injeção de scripts web arbitrários que são executados se um usuário for enganado ao clicar em um link malicioso.
Recomendações Atualize o plugin para a versão 1.8.13 ou posterior. Como medida de mitigação temporária, restrinja o uso do shortcode [vikbooking view="roomslist"] em páginas públicas.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12754

Produtos afetados

Vikbooking Hotel Booking Engine & Pms