CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-9189

Medium
Published: Translated: NVD NIST

Summary

Wtyczka Contact Form 7 – PayPal & Stripe Add-on dla WordPressa jest podatna na obejście płatności z powodu niewystarczającej weryfikacji autentyczności danych we wszystkich wersjach do 2.4.9 włącznie. Funkcja `cf7pp_paypal_ipn_handler()` poprawnie weryfikuje autentyczność IPN, ale nie porównuje kluczowych pól z danymi zamówienia, co pozwala atakującym na oznaczanie zamówień jako opłacone bez odpowiedniej weryfikacji.

Risk Assessment

Organizacja narażona jest na straty finansowe, ponieważ nieautoryzowani użytkownicy mogą oznaczać zamówienia jako opłacone, co prowadzi do nieautoryzowanych transakcji. Może to również wpłynąć na reputację firmy oraz zaufanie klientów.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy weryfikacji płatności, aby zabezpieczyć proces zamówień.

Original NVD description (English source)

The Contact Form 7 – PayPal & Stripe Add-on plugin for WordPress is vulnerable to Payment Bypass via Insufficient Verification of Data Authenticity in all versions up to, and including, 2.4.9. Although `cf7pp_paypal_ipn_handler()` correctly validates IPN authenticity by posting back to PayPal with `cmd=_notify-validate`, it fails to compare the IPN payload's `mc_gross` (payment amount), `mc_currency`, or `receiver_email` fields against the corresponding stored order values before passing the attacker-controlled `invoice` field directly to `cf7pp_complete_payment()`, which marks the order completed after only an integer cast with no amount verification. This makes it possible for unauthenticated attackers to mark arbitrary high-value pending orders as fully paid by making a minimal real PayPal payment and crafting an IPN whose `invoice` parameter references the targeted order, effectively completing purchases without tendering the required payment amount.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS