🚨 WordPress плагин с бесплатными донатами
Уязвимость CVE-2025-13384 позволяет подделать любой платёж БЕЗ ДЕНЕГ. Фейковый IPN запрос → заявка помечена как «оплачена» → атакующий получает доступ/услугу бесплатно
⚠️ Кто под ударом:
CP Contact Form with PayPal (≤ 1.3.56) — плагин для форм с приёмом платежей
🔴 Почему это работает:
— Нет проверки PayPal IPN подписи
— Нет аутентификации запросов
— Любой может отправить POST на
— Система считает что деньги пришли
🎥 Что под угрозой:
— Donation формы (пожертвования)
— Payment формы (оплата услуг)
— Registration формы (регистрация с оплатой)
— Любые submission помечаются как paid
🎥 Что делать:
— Обновить плагин до версии 1.3.57+
— Через Dashboard → Plugins → Update
— Проверить логи на подозрительные IPN запросы
— Сверить платежи в PayPal с заявками на сайте
🔗 Обновить плагин
🔗 Детали уязвимости
🔹 ML для старта в Data Science
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
🐸 Библиотека хакера
#cve_bulletin
Уязвимость CVE-2025-13384 позволяет подделать любой платёж БЕЗ ДЕНЕГ. Фейковый IPN запрос → заявка помечена как «оплачена» → атакующий получает доступ/услугу бесплатно
⚠️ Кто под ударом:
CP Contact Form with PayPal (≤ 1.3.56) — плагин для форм с приёмом платежей
— Нет проверки PayPal IPN подписи
— Нет аутентификации запросов
— Любой может отправить POST на
/cp_contactformpp_ipncheck— Система считает что деньги пришли
— Donation формы (пожертвования)
— Payment формы (оплата услуг)
— Registration формы (регистрация с оплатой)
— Любые submission помечаются как paid
— Обновить плагин до версии 1.3.57+
— Через Dashboard → Plugins → Update
— Проверить логи на подозрительные IPN запросы
— Сверить платежи в PayPal с заявками на сайте
🔹 ML для старта в Data Science
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3👍1