CVE-2026-43883

Nome do Software Vulnerável e Versões Afetadas WWBN AVideo versões anteriores a 29.1

Descrição Existe uma falha de autorização no plugin PayPalYPT onde o endpoint 'plugin/PayPalYPT/agreementCancel.json.php' cancela um acordo de faturamento do PayPal usando um parâmetro agreement fornecido por um invasor, sem verificar se o usuário autenticado é o proprietário do acordo. Um usuário autenticado de baixo privilégio que obtenha o ID do acordo de faturamento do PayPal de outro usuário pode suspender silenciosamente a assinatura recorrente da vítima. Isso resulta em perda de receita para a plataforma e perda do serviço pago para a vítima. O problema ocorre porque o servidor não verifica se o ID do usuário logado corresponde ao proprietário do acordo antes de chamar a função cancelAgreement().

Recomendações Atualize para uma versão que inclua o commit 0da3dcff1eda2f497694bf82b559829471c292c2. Como medida paliativa temporária, restrinja o acesso ao endpoint 'plugin/PayPalYPT/agreementCancel.json.php' ou desative o plugin PayPalYPT até que a atualização seja aplicada.