PT-2026-44189 · WordPress · Easy Digital Downloads

Publicado

2026-05-28

·

Atualizado

2026-05-28

·

CVE-2026-7533

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Easy Digital Downloads versões anteriores a 3.6.8
Description O plugin Easy Digital Downloads para WordPress está sujeito a Cross-Site Request Forgery (CSRF), uma falha onde um invasor engana a vítima para realizar ações que ela não pretendia. O problema existe na função handle oauth redirect(), que está registrada no hook admin init. Esta função processa tokens OAuth do Square a partir de um parâmetro GET fornecido pelo usuário sem realizar a verificação de nonce (um token de segurança usado para garantir que as solicitações sejam intencionais). Consequentemente, invasores não autenticados podem sobrescrever as credenciais do gateway de pagamento Square da loja, induzindo um administrador conectado a clicar em um link especialmente criado, o que pode levar ao sequestro da conta de pagamento.
Recommendations Atualize para a versão 3.6.8 ou posterior. Como medida paliativa temporária, restrinja o acesso do administrador à função handle oauth redirect() ou ao hook admin init que processa tokens OAuth do Square até que a atualização seja aplicada.

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-7533

Produtos afetados

Easy Digital Downloads