The MotoPress Hotel Booking plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 6.0.1. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to overwrite or delete the internal notes (_mphb_booking_internal_notes) of any booking by supplying an arbitrary booking ID. The nonce for this action is output in the HTML source of every public page through wp_localize_script (MPHB._data.nonces), so any unauthenticated visitor can obtain a valid nonce and perform the action without any account or prior interaction.
The MotoPress Hotel Booking WordPress plugin versions up to 6.0.1 contain an authorization bypass vulnerability allowing unauthenticated attackers to modify or delete booking internal notes via arbitrary booking ID submission. The vulnerability is exploitable because valid nonces are publicly exposed in HTML source code through wp_localize_script, enabling attackers to forge requests without authentication.
تحتوي إضافة MotoPress Hotel Booking على ثغرة تجاوز تفويض تسمح للزوار غير المصرحين بالوصول إلى ملاحظات الحجوزات الداخلية وتعديلها. يتم عرض الرموز الآمنة المطلوبة للهجوم علناً في كود HTML كل صفحة عامة مما يسهل على المهاجمين استغلال الثغرة. هذا يؤثر على جميع فنادق وشركات الضيافة التي تستخدم هذه الإضافة لإدارة الحجوزات.
ثغرة تجاوز التفويض في إضافة MotoPress Hotel Booking لـ WordPress تصل إلى الإصدار 6.0.1 تسمح للمهاجمين غير المصرحين بتعديل أو حذف ملاحظات الحجوزات الداخلية. الثغرة قابلة للاستغلال لأن الرموز الآمنة الصحيحة معروضة علناً في كود HTML مما يمكّن المهاجمين من تنفيذ الطلبات بدون مصادقة.
Update MotoPress Hotel Booking plugin to version 6.0.2 or later immediately. Implement proper capability checks and nonce verification for all user actions. Restrict nonce exposure by removing sensitive nonces from public page sources and implement server-side authorization validation for all booking-related operations.
قم بتحديث إضافة MotoPress Hotel Booking إلى الإصدار 6.0.2 أو أحدث فوراً. طبّق فحوصات الصلاحيات والتحقق من الرموز الآمنة بشكل صحيح لجميع الإجراءات. قيّد عرض الرموز الآمنة بإزالتها من مصادر الصفحات العامة وطبّق التحقق من التفويض على جانب الخادم لجميع العمليات المتعلقة بالحجوزات.