CVE-2026-4986
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
Wtyczka WPForms dla WordPressa w wersjach przed 1.10.0.5 nie weryfikuje autentyczności nadchodzących zdarzeń webhook PayPal przed ich przetworzeniem. To pozwala nieautoryzowanym atakującym na fałszowanie ładunków webhook i manipulowanie stanem płatności dowolnych transakcji.
Ocena ryzyka
Brak weryfikacji autentyczności webhooków może prowadzić do nieautoryzowanych zmian w transakcjach płatniczych, co stwarza ryzyko finansowe dla organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki WPForms do wersji 1.10.0.5 lub nowszej, aby zapewnić odpowiednią weryfikację zdarzeń webhook PayPal.
Oryginalny opis (angielski, źródło NVD)
The WPForms WordPress plugin before 1.10.0.5 does not verify the authenticity of incoming PayPal webhook events before processing them, allowing unauthenticated attackers to forge webhook payloads and manipulate the payment state of arbitrary transactions.

