CVE-2026-4986
WPForms Lite < 1.10.0.5 – Unauthenticated PayPal Webhook Forgery
Vexday Risk Score
33Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Prueba de concepto
Existe prueba de concepto pública, pero aún no automatizada.
CVSS 5.3EPSS 0.2%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
09 jun 2026Publicada en NVD
Recomendación: Planificar corrección próxima — ya existe PoC pública.
The WPForms WordPress plugin before 1.10.0.5 does not verify the authenticity of incoming PayPal webhook events before processing them, allowing unauthenticated attackers to forge webhook payloads and manipulate the payment state of arbitrary transactions.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Productos afectados
Unknown · WPFormsPoCs públicas encontradas — 1
cve_referencewpscan.com/vulnerability/1d99eed6-9a16-4d5a-90f9-ab604dfd5b92/no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.