CVE-2026-9822 - WP Hotel Booking < 2.3.1 - Subscriber+ Missing Authorization in Multiple AJAX Handlers
Summary
This entry details a vulnerability found in the target system. The exploit was published on 2026-06-19 and has garnered 175 views from the community. It is classified under the remote category. Users are advised to review the source code in the Detail tab for technical specifics.
Zafiyet Ozet Bilgileri
Zafiyet Detayi (Turkce)
2.3.1'den önceki WP Otel Rezervasyonu WordPress eklentisi, AJAX işleyicilerinin birçoğunda yetenek kontrolleri uygulamamakta ve Abone düzeyinde erişime sahip kimliği doğrulanmış kullanıcıların diğer kullanıcıların rezervasyon satır öğelerini okumasına, etkin kuponları numaralandırmasına ve fiyatlandırma verilerini okumasına olanak tanımaktadır.
Orijinal Aciklama (Ingilizce)
The WP Hotel Booking WordPress plugin before 2.3.1 does not enforce capability checks in several of its AJAX handlers, allowing authenticated users with Subscriber-level access to read other users' booking line items, enumerate active coupons, and read pricing data.
Download Source
Download the exploit source code for offline analysis and testing.
Download NowFile Size: ~2.6 KB | MD5: 8647fbdfce1d28d779e5bb1481e35acf
No gallery images available.
No discussion yet.