Stranger825

**Nome do Software Vulnerável e Versões Afetadas** Contact Form 7 – PayPal & Stripe Add-on versões anteriores a 2.5.0 **Descrição** O plugin está sujeito a um bypass de pagamento devido à verificação insuficiente da autenticidade dos dados. Embora a função `cf7pp paypal ipn handler()` valide a autenticidade do IPN enviando os dados de volta ao PayPal com `cmd= notify-validate`, ela não verifica se os campos `mc gross` (valor do pagamento), `mc currency` ou `receiver email` no payload do IPN correspondem aos valores do pedido armazenados. Em vez disso, o campo `invoice`, controlado pelo invasor, é passado diretamente para `cf7pp complete payment()`, que marca o pedido como concluído após apenas uma conversão para inteiro, sem verificação do valor. Isso permite que invasores não autenticados marquem pedidos pendentes de alto valor como pagos, realizando um pagamento mínimo e criando um IPN onde o parâmetro `invoice` referencia o pedido pretendido. **Recomendações** Atualize o plugin para uma versão posterior a 2.4.9.