CVE-2026-32834

Nome do Software Vulnerável e Versões Afetadas Easy PayPal Events & Tickets plugin for WordPress versões 1.3 e anteriores

Descrição Existe um bypass de autenticação hardcoded na funcionalidade de varredura de código QR. Atacantes remotos não autenticados podem ignorar a verificação de hash fornecendo 'test' como valor para o parâmetro hash. Ao acessar o endpoint 'add wpeevent button qr', os atacantes podem recuperar detalhes confidenciais do pedido, incluindo IDs de transação do PayPal, endereços de e-mail de clientes, valores de compra e informações de ingressos, desde que possuam um ID de postagem conhecido ou adivinhado.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.