CVE-2026-7792

Nome do Software Vulnerável e Versões Afetadas WPForms – Easy Form Builder for WordPress – Contact Forms, Payment Forms, Surveys, & More versões anteriores a 1.10.0.2

Descrição O plugin está sujeito a uma verificação insuficiente da autenticidade dos dados. O endpoint de webhook do PayPal Commerce processa payloads de webhook JSON não autenticados sem verificar a assinatura de webhook HMAC-SHA256, necessária para garantir que a solicitação originou-se do PayPal. O sistema apenas verifica se o event type está em uma lista permitida antes de enviar dados de recursos controlados por um invasor para manipuladores que atualizam registros de pagamento. Isso permite que invasores não autenticados que possuam um subscription id válido forjem eventos de webhook do PayPal e modifiquem registros de pagamento de assinaturas, como alterar o subscription status para ativo para reativar uma assinatura cancelada ou suspensa.

Recomendações Atualize para uma versão posterior a 1.10.0.1.