The Online Scheduling and Appointment Booking System – Bookly plugin for WordPress is vulnerable to price manipulation via the 'tips' parameter in all versions up to, and including, 27.0. This is due to the plugin trusting a user-supplied input without server-side validation against the configured price. This makes it possible for unauthenticated attackers to submit a negative number to the 'tips' parameter, causing the total price to be reduced to zero.
The Bookly WordPress plugin fails to validate the 'tips' parameter on the server side, allowing unauthenticated attackers to manipulate appointment prices by submitting negative values. This vulnerability enables attackers to reduce booking costs to zero, directly impacting revenue for organizations using this plugin.
تحتوي إضافة Bookly لنظام WordPress على ثغرة في التحقق من صحة المدخلات حيث لا يتم التحقق من معامل الإكراميات على جانب الخادم. يمكن للمهاجمين غير المصرح لهم إدخال قيم سالبة لتقليل السعر الإجمالي إلى صفر. هذا يؤثر بشكل مباشر على الإيرادات والعمليات المالية للمنظمات التي تستخدم هذه الإضافة.
The Bookly WordPress plugin fails to validate the 'tips' parameter on the server side, allowing unauthenticated attackers to manipulate appointment prices by submitting negative values. This vulnerability enables attackers to reduce booking costs to zero, directly impacting revenue for organizations using this plugin.
Update the Bookly plugin to version 27.1 or later immediately. Implement server-side validation for all price-related parameters including tips to ensure they cannot be negative or exceed configured limits. Consider implementing additional input sanitization and type checking for financial parameters.
قم بتحديث إضافة Bookly إلى الإصدار 27.1 أو أحدث فوراً. قم بتطبيق التحقق من صحة المعاملات المالية على جانب الخادم للتأكد من عدم قبول القيم السالبة. فكر في تطبيق تصفية إضافية والتحقق من نوع البيانات للمعاملات المالية.