Katalog CVE

CVE-2026-4986

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.02%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

Wtyczka WPForms dla WordPressa w wersjach przed 1.10.0.5 nie weryfikuje autentyczności nadchodzących zdarzeń webhook PayPal przed ich przetworzeniem. To pozwala nieautoryzowanym atakującym na fałszowanie ładunków webhook i manipulowanie stanem płatności dowolnych transakcji.

Ocena ryzyka

Brak weryfikacji autentyczności webhooków może prowadzić do nieautoryzowanych zmian w transakcjach płatniczych, co stwarza ryzyko finansowe dla organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki WPForms do wersji 1.10.0.5 lub nowszej, aby zapewnić odpowiednią weryfikację zdarzeń webhook PayPal.

Oryginalny opis (angielski, źródło NVD)

The WPForms WordPress plugin before 1.10.0.5 does not verify the authenticity of incoming PayPal webhook events before processing them, allowing unauthenticated attackers to forge webhook payloads and manipulate the payment state of arbitrary transactions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS