The Booking for Appointments and Events Calendar – Amelia plugin for WordPress is vulnerable to Improper Authorization in all versions up to, and including, 2.1.2. This is due to a logical short-circuit flaw in authorization logic that causes token validation to be entirely skipped when a booking has a 'waiting' status. This makes it possible for unauthenticated attackers to approve any booking that is in 'waiting' status by sending a crafted request to the publicly-accessible admin-ajax endpoint.
The Amelia WordPress plugin for booking appointments contains an authorization bypass vulnerability that allows unauthenticated attackers to approve waiting bookings through a logical flaw in token validation. This affects all versions up to 2.1.2 and can be exploited via the publicly-accessible admin-ajax endpoint.
ثغرة في مكون Amelia للحجوزات والأحداث في WordPress تسمح للمهاجمين غير المصرح لهم بتجاوز التحقق من الرموز عندما تكون حالة الحجز 'قيد الانتظار'. يمكن استغلال هذا الخلل المنطقي من خلال إرسال طلب مصنوع إلى نقطة نهاية admin-ajax العامة.
يحتوي مكون Amelia لـ WordPress على ثغرة تجاوز التفويض التي تسمح للمهاجمين غير المصرح لهم بالموافقة على الحجوزات المعلقة من خلال خلل منطقي في التحقق من الرموز. يؤثر هذا على جميع الإصدارات حتى 2.1.2 ويمكن استغلاله عبر نقطة نهاية admin-ajax المتاحة للجمهور.
Update the Amelia plugin to version 2.1.3 or later immediately. If immediate patching is not possible, implement Web Application Firewall (WAF) rules to restrict access to admin-ajax endpoints and monitor for suspicious booking approval requests. Disable the plugin if updates are unavailable.
قم بتحديث مكون Amelia إلى الإصدار 2.1.3 أو أحدث على الفور. إذا لم يكن التصحيح الفوري ممكناً، فقم بتطبيق قواعد جدار حماية تطبيقات الويب لتقييد الوصول إلى نقاط نهاية admin-ajax ومراقبة طلبات الموافقة على الحجوزات المريبة. قم بتعطيل المكون إذا لم تكن التحديثات متاحة.