RoomCloud מתואר מנוע הזמנת מערכת הפצה. RoomCloud מציעה מגוון רחב של מוצרים, כלים מייעצים מתאים מלונאים בסביבה התחרותית של מכירות מקוונות.
לצערי, החוקרים דיווחו כי באג Cross-site scripting התגלה תוסף RoomCloud עבור WordPress, אשר מעניק למשתמשים את האפשרות לבצע הזמנות מקוונות. זה אולי לא ייחשב שירות פופולרי מאוד אך מספר הקורבנות הפוטנציאליים יכול להיות רציני.
פרטי נסיעה אישיים יכולים להיפגע אם הפגיעות מנוצלות.
פגיעות XSS מאפשרות לתוקפים לזהות נתוני נסיעות הלקוחות. פרטים שנתגלו יכולים לכלול את משך השהייה, מספר מבוגרים וילדים, ומידע רלוונטי.
למזלנו, הבאג התגלה ודיווח בזמן על ידי חוקר Nitin Venkatesh. לא רק שהוא גילה תקלה, אבל הוא גם פירסם את הקוד של קונספט הוכחה כדי להדגים את הנושא. הוא טוען כי הפגיעות נובעות פרמטרים נתמכים כראוי.
פגיעות בזמן בשיתוף וורדפרס.
מנהלי מלון מוזמנים לעדכן את התוסף כדי הגרסה האחרונה שלה שכבר שוחרר על ידי Venkatesh. באותו הקשר, צוות וורדפרס שיתף פעולה בהתלהבות ומשכה מטה את תוסף שלושה ימים לאחר גילויה.
הפגיעות התגלו בגרסה של RoomCloud 1.1, לבנות 1115307, כבר תוקן ב build 1117499 של אותה הגרסה.