CVE-2024-1719

Plugin Easy PayPal & Stripe Buy Now Button para o WordPress, versões até a 1.8.3, inclusive

Contact Form 7 – Complemento PayPal & Stripe, versões até a 2.1, inclusive

O problema se deve à falta ou à validação incorreta do nonce na função wpecpp stripe connect completion, possibilitando que invasores não autenticados modifiquem as configurações do plugin e alterem a conexão do Stripe por meio de uma solicitação falsificada. Isso pode ocorrer se um invasor conseguir induzir um administrador do site a realizar uma ação, como clicar em um link.

Para o plugin Easy PayPal & Stripe Buy Now Button para WordPress, versões até e incluindo a 1.8.3, atualize para uma versão posterior à 1.8.3.

Para as versões do Contact Form 7 – PayPal & Stripe Add-on até a 2.1, inclusive, atualize para uma versão posterior à 2.1.

Como solução temporária, considere desativar a função wpecpp stripe connect completion até que um patch esteja disponível.