CVE-2026-4650

Nome do Software Vulnerável e Versões Afetadas FundPress versões anteriores a 2.0.9

Descrição Existe uma falha de bypass de autorização no plugin FundPress WordPress Donation. O manipulador AJAX donate action status(), acessível a usuários não autenticados via wp ajax nopriv, não verifica as capacidades do usuário, tokens nonce ou a propriedade da doação. Ele valida apenas se o parâmetro schema é igual a 'donate-ajax' e se os parâmetros POST obrigatórios estão presentes. Consequentemente, invasores não autenticados podem modificar o status de qualquer doação fornecendo seu ID (inteiros sequenciais), permitindo que marquem doações como concluídas, pendentes, canceladas ou qualquer status arbitrário, podendo disparar notificações por e-mail e outros efeitos colaterais.

Recomendações Atualize o plugin para uma versão posterior a 2.0.8. Como medida paliativa temporária, restrinja o acesso à função donate action status() para minimizar o risco de exploração.