Плагин Timetics WordPress до версии 1.0.52 не имеет авторизации в конечной точке REST, что позволяет неаутентифицированным пользователям произвольно изменять статус оплаты бронирования и статус публикации для настраиваемого типа публикации «timetics-booking».
Показать оригинальное описание (EN)
The Timetics WordPress plugin before 1.0.52 does not have authorization in a REST endpoint, allowing unauthenticated users to arbitrarily change a booking's payment status and post status for the "timetics-booking" custom post type.