O plugin Amelia Booking para WordPress é vulnerável a Referências Diretas Inseguras a Objetos (Insecure Direct Object References) em versões até, e incluindo, a 9.1.2. Isso ocorre porque o plugin fornece acesso controlado pelo usuário a objetos, permitindo que um usuário ignore a autorização e acesse recursos do sistema. Isso torna possível que atacantes autenticados com permissões de nível de cliente ou superiores alterem senhas de usuários e potencialmente assumam o controle de contas de administrador. A vulnerabilidade está no plugin pro, que tem o mesmo slug.