CVE-2025-3247

Nome do Software Vulnerável e Versões Afetadas Versões do Contact Form 7 até, e incluindo, a 6.0.5

Descrição O problema está relacionado à validação insuficiente em uma chave controlada pelo usuário na função wpcf7 stripe skip spam check, permitindo que atacantes não autenticados reutilizem um único Stripe PaymentIntent para múltiplas transações. Embora apenas a primeira transação seja processada via Stripe, o plugin envia uma mensagem de e-mail de sucesso para cada transação, potencialmente enganando um administrador para atender cada pedido.

Recomendações Para versões até, e incluindo, a 6.0.5, considere desabilitar a função wpcf7 stripe skip spam check como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso ao Stripe PaymentIntent para minimizar o risco de exploração. Evite usar a função wpcf7 stripe skip spam check em transações até que o problema seja resolvido.