CVE-2026-8608

Nome do Software Vulnerável e Versões Afetadas The Event Monster – Event Management, Events Calendar, Tickets plugin for WordPress versões anteriores a 2.1.1

Descrição O software é afetado por Verificação Insuficiente de Autenticidade de Dados. O manipulador AJAX capture payment(), registrado via 'wp ajax nopriv em capture payment', confia em dados de pagamento fornecidos pelo cliente — especificamente o transaction ID, amount e payment status — sem realizar a verificação no lado do servidor contra a API do PayPal ou outros gateways de pagamento. Além disso, o manipulador carece de verificações de nonce ou de capacidade. Isso permite que atacantes não autenticados forjem registros de pagamento, marquem reservas como Concluídas e recebam e-mails de confirmação com ingressos de código QR válidos sem realizar qualquer pagamento.

Recomendações Atualize o plugin para uma versão posterior a 2.1.0. Como medida paliativa temporária, restrinja o acesso ao manipulador AJAX 'wp ajax nopriv em capture payment' para minimizar o risco de exploração.