CVE-2026-9189

Nome do Software Vulnerável e Versões Afetadas Contact Form 7 – PayPal & Stripe Add-on versões anteriores a 2.5.0

Descrição O plugin está sujeito a um bypass de pagamento devido à verificação insuficiente da autenticidade dos dados. Embora a função cf7pp paypal ipn handler() valide a autenticidade do IPN enviando os dados de volta ao PayPal com cmd= notify-validate, ela não verifica se os campos mc gross (valor do pagamento), mc currency ou receiver email no payload do IPN correspondem aos valores do pedido armazenados. Em vez disso, o campo invoice, controlado pelo invasor, é passado diretamente para cf7pp complete payment(), que marca o pedido como concluído após apenas uma conversão para inteiro, sem verificação do valor. Isso permite que invasores não autenticados marquem pedidos pendentes de alto valor como pagos, realizando um pagamento mínimo e criando um IPN onde o parâmetro invoice referencia o pedido pretendido.

Recomendações Atualize o plugin para uma versão posterior a 2.4.9.