Плагин Charitable — Donation Plugin для WordPress — Сбор средств с помощью повторяющихся пожертвований и многое другое для WordPress уязвим к недостаточной проверке подлинности данных в версиях до 1.8.9.7 включительно. Это связано с отсутствием криптографической проверки входящих событий веб-перехватчика Stripe. Это позволяет неаутентифицированным злоумышленникам подделать полезные данные веб-перехватчика pay_intent.succeeded и пометить ожидающие пожертвования как выполненные без реального платежа.
Показать оригинальное описание (EN)
The Charitable – Donation Plugin for WordPress – Fundraising with Recurring Donations & More plugin for WordPress is vulnerable to Insufficient Verification of Data Authenticity in versions up to, and including, 1.8.9.7. This is due to missing cryptographic verification of incoming Stripe webhook events. This makes it possible for unauthenticated attackers to forge payment_intent.succeeded webhook payloads and mark pending donations as completed without a real payment.
Характеристики атаки
Последствия
Строка CVSS v3.1