📄 Description (English)
WordPress adivaha Travel Plugin 2.3 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the isMobile parameter. Attackers can craft malicious URLs containing JavaScript payloads in the isMobile GET parameter at the /mobile-app/v3/ endpoint to execute arbitrary code in victims' browsers and steal session tokens or credentials.
🤖 AI Executive Summary
CVE-2023-54358 is a reflected XSS vulnerability in WordPress adivaha Travel Plugin 2.3 affecting the /mobile-app/v3/ endpoint through the isMobile parameter. Unauthenticated attackers can inject malicious JavaScript to steal session tokens and credentials from victims. With no patch available and medium CVSS score of 6.1, this poses a significant risk to travel and tourism websites operating in Saudi Arabia.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 23, 2026 12:43
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability primarily impacts Saudi tourism and travel sector organizations using WordPress with the adivaha Travel Plugin. At-risk sectors include: (1) Travel agencies and tour operators licensed by SCTA, (2) Hotel and hospitality management systems, (3) E-commerce platforms selling travel packages, (4) Government tourism portals under SCTA oversight. The XSS vulnerability enables credential theft, session hijacking, and malware distribution affecting both business operations and customer data protection under PDPL compliance requirements.
🏢 Affected Saudi Sectors
Tourism and Travel
Hospitality and Hotels
E-commerce
Government (SCTA)
Travel Agencies
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Disable or remove the adivaha Travel Plugin 2.3 immediately from all WordPress installations
2. Audit access logs for /mobile-app/v3/ endpoint for suspicious isMobile parameter values containing script tags or encoded payloads
3. Force password reset for all users who accessed the plugin during the vulnerability window
4. Revoke active session tokens and require re-authentication
PATCHING GUIDANCE:
1. Contact adivaha plugin developers for security patch availability
2. If no patch is released, migrate to alternative travel booking plugins with active security maintenance
3. Implement Web Application Firewall (WAF) rules to block requests containing script payloads in isMobile parameter
COMPENSATING CONTROLS:
1. Deploy WAF rules: Block GET requests to /mobile-app/v3/ containing <script>, javascript:, onerror=, onload=, or other XSS payloads
2. Implement Content Security Policy (CSP) headers: default-src 'self'; script-src 'self' (prevents inline script execution)
3. Enable HTTP-only and Secure flags on session cookies to prevent JavaScript access
4. Implement input validation and output encoding on all user-supplied parameters
DETECTION RULES:
1. Monitor for GET requests to /mobile-app/v3/ with isMobile parameter containing HTML/JavaScript entities
2. Alert on unusual User-Agent patterns combined with isMobile parameter manipulation
3. Track failed authentication attempts following XSS injection attempts
4. Monitor for session token exfiltration patterns in outbound traffic
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تعطيل أو إزالة إضافة adivaha Travel Plugin 2.3 فوراً من جميع تثبيتات WordPress
2. تدقيق سجلات الوصول لنقطة النهاية /mobile-app/v3/ بحثاً عن قيم معامل isMobile المريبة التي تحتوي على علامات البرنامج النصي أو الحمولات المشفرة
3. فرض إعادة تعيين كلمة المرور لجميع المستخدمين الذين وصلوا إلى الإضافة أثناء نافذة الثغرة
4. إلغاء رموز الجلسة النشطة وطلب إعادة المصادقة
إرشادات التصحيح:
1. الاتصال بمطوري إضافة adivaha للحصول على تصحيح أمني
2. إذا لم يتم إصدار تصحيح، الهجرة إلى إضافات حجز السفر البديلة ذات الصيانة الأمنية النشطة
3. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لحظر الطلبات التي تحتوي على حمولات برنامج نصي في معامل isMobile
الضوابط التعويضية:
1. نشر قواعد WAF: حظر طلبات GET إلى /mobile-app/v3/ التي تحتوي على <script>، javascript:، onerror=، onload=، أو حمولات XSS أخرى
2. تنفيذ رؤوس سياسة أمان المحتوى (CSP): default-src 'self'; script-src 'self'
3. تفعيل أعلام HTTP-only و Secure على ملفات تعريف الارتباط للجلسة
4. تنفيذ التحقق من الإدخال والترميز الناتج على جميع المعاملات المزودة من قبل المستخدم
قواعد الكشف:
1. مراقبة طلبات GET إلى /mobile-app/v3/ مع معامل isMobile يحتوي على كيانات HTML/JavaScript
2. التنبيه على أنماط User-Agent غير العادية مقترنة بمعالجة معامل isMobile
3. تتبع محاولات المصادقة الفاشلة التالية لمحاولات حقن XSS
4. مراقبة أنماط تسرب رموز الجلسة في حركة المرور الصادرة
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures
ECC 2024 A.14.2.5 - Security testing in development and acceptance
ECC 2024 A.14.3.1 - Separation of development, test and production environments
ECC 2024 A.13.1.3 - Segregation of networks
🔵 SAMA CSF
SAMA CSF ID.BE-3.2 - Organizational roles and responsibilities
SAMA CSF PR.DS-6 - Data is protected from unauthorized access
SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events
SAMA CSF RS.MI-2 - Incidents are mitigated
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Web application security
ISO 27001:2022 A.8.22 - Secure development policy
ISO 27001:2022 A.8.24 - Protection of development, test and acceptance environments
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
PCI DSS 6.5.7 - Cross-site scripting (XSS)
PCI DSS 6.5.10 - Broken authentication and session management
PCI DSS 11.3 - Penetration testing
🔗 References & Sources 4
🔗
🔗
🔗
🔗
https://wordpress.org/plugins/adiaha-hotel/
disclosure@vulncheck.com
https://www.adivaha.com/
disclosure@vulncheck.com
https://www.exploit-db.com/exploits/51663
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/wordpress-adivaha-travel-plugin-reflected-xss-via-...
disclosure@vulncheck.com