Katalog CVE

CVE-2026-9189

Średnie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Contact Form 7 – PayPal & Stripe Add-on dla WordPressa jest podatna na obejście płatności z powodu niewystarczającej weryfikacji autentyczności danych we wszystkich wersjach do 2.4.9 włącznie. Funkcja `cf7pp_paypal_ipn_handler()` poprawnie weryfikuje autentyczność IPN, ale nie porównuje kluczowych pól z danymi zamówienia, co pozwala atakującym na oznaczanie zamówień jako opłacone bez odpowiedniej weryfikacji.

Ocena ryzyka

Organizacja narażona jest na straty finansowe, ponieważ nieautoryzowani użytkownicy mogą oznaczać zamówienia jako opłacone, co prowadzi do nieautoryzowanych transakcji. Może to również wpłynąć na reputację firmy oraz zaufanie klientów.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy weryfikacji płatności, aby zabezpieczyć proces zamówień.

Oryginalny opis (angielski, źródło NVD)

The Contact Form 7 – PayPal & Stripe Add-on plugin for WordPress is vulnerable to Payment Bypass via Insufficient Verification of Data Authenticity in all versions up to, and including, 2.4.9. Although `cf7pp_paypal_ipn_handler()` correctly validates IPN authenticity by posting back to PayPal with `cmd=_notify-validate`, it fails to compare the IPN payload's `mc_gross` (payment amount), `mc_currency`, or `receiver_email` fields against the corresponding stored order values before passing the attacker-controlled `invoice` field directly to `cf7pp_complete_payment()`, which marks the order completed after only an integer cast with no amount verification. This makes it possible for unauthenticated attackers to mark arbitrary high-value pending orders as fully paid by making a minimal real PayPal payment and crafting an IPN whose `invoice` parameter references the targeted order, effectively completing purchases without tendering the required payment amount.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS