Система онлайн-планирования и бронирования встреч — плагин Bookly для WordPress уязвим к манипулированию ценами с помощью параметра «советы» во всех версиях до 27.0 включительно. Это связано с тем, что плагин доверяет введенным пользователем данным без проверки на стороне сервера настроенной цены. Это позволяет злоумышленникам, не прошедшим проверку подлинности, указать отрицательное число в параметре «советы», в результате чего общая цена снизится до нуля.
Показать оригинальное описание (EN)
The Online Scheduling and Appointment Booking System – Bookly plugin for WordPress is vulnerable to price manipulation via the 'tips' parameter in all versions up to, and including, 27.0. This is due to the plugin trusting a user-supplied input without server-side validation against the configured price. This makes it possible for unauthenticated attackers to submit a negative number to the 'tips' parameter, causing the total price to be reduced to zero.
Характеристики атаки
Последствия
Строка CVSS v3.1