← voltar
CVE-2026-4986

WPForms Lite < 1.10.0.5 – Unauthenticated PayPal Webhook Forgery

CVSS 5.3 MEDIUMEPSS 0.2%CWE-862
Vexday Risk Score
33Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS 5.3EPSS 0.2%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
09 jun 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
The WPForms WordPress plugin before 1.10.0.5 does not verify the authenticity of incoming PayPal webhook events before processing them, allowing unauthenticated attackers to forge webhook payloads and manipulate the payment state of arbitrary transactions.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Produtos afetados
Unknown · WPForms
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.