Katalog CVE

CVE-2026-8608

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Event Monster do zarządzania wydarzeniami w WordPressie jest podatna na niewystarczającą weryfikację autentyczności danych w wersjach do 2.1.0. Problem wynika z handlera AJAX capture_payment(), który ufa danym płatności dostarczanym przez klienta bez weryfikacji po stronie serwera.

Ocena ryzyka

Atakujący mogą fałszować rekordy płatności, oznaczać rezerwacje jako zrealizowane oraz uzyskiwać potwierdzenia e-mail z ważnymi biletami QR bez dokonywania rzeczywistej płatności, co może prowadzić do strat finansowych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów weryfikacji danych płatności po stronie serwera.

Oryginalny opis (angielski, źródło NVD)

The Event Monster – Event Management, Events Calendar, Tickets plugin for WordPress is vulnerable to Insufficient Verification of Data Authenticity in versions up to, and including, 2.1.0. This is due to the capture_payment() AJAX handler (registered via wp_ajax_nopriv_em_capture_payment) trusting client-supplied payment data — including transaction ID, amount, and payment status — without performing any server-side verification against the PayPal API or any other payment gateway, and without nonce or capability checks. This makes it possible for unauthenticated attackers to forge payment records, mark bookings as Completed, and obtain confirmation emails containing valid QR code tickets without making any actual payment.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS