CVE-2025-9189: Contact Form 7 PayPal插件未授权支付绕过

漏洞概述 漏洞名称: Contact Form 7 – PayPal & Stripe Add-on <= 2.4.9 - Unauthenticated Payment Bypass via Insufficient Verification of Data Authenticity via PayPal IPN Handler ('invoice'/'mc_gross' Verification) CVE ID: CVE-2025-9189 CVSS 评分: 5.3 (Medium) 发布日期: May 28, 2025 最后更新日期: May 29, 2025 研究人员: Stranger825 影响范围 软件类型: Plugin 软件名称: Contact Form 7 – PayPal & Stripe Add-on 受影响版本: <= 2.4.9 修复版本: 2.4.10 修复方案 修复方法: 升级到版本 2.4.10 或更新的已修补版本。 漏洞描述 该漏洞存在于 Contact Form 7 – PayPal & Stripe Add-on 插件中，攻击者可以通过未经验证的数据（如 'invoice' 和 'mc_gross'）绕过支付验证，从而完成未授权的交易。 参考链接 plugins.trac.wordpress.org 其他信息 免责声明: 该页面内容受版权保护，具体条款见页面底部。 联系方式: 如需更多信息或报告错误，可联系 wfi-support@wordfence.com。 近期相关漏洞 其他资源 Wordfence Intelligence: 提供免费的 WordPress 漏洞数据库访问和 webhook 集成。 Wordfence 插件: 安装 Wordfence 插件以即时获取漏洞通知。 文档: 查看 Wordfence Intelligence 的文档以了解如何通过 API 访问和消费漏洞数据。 联系方式 业务时间: 9am-8pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT（不包括周末和节假日） 响应时间: 24 小时响应，全年无休，平均响应时间为 1 小时。 法律声明 版权: © 2012-2026 Defiant Inc. 保留所有权利。 服务条款: 详见页面底部的服务条款和隐私政策。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2025-9189: Contact Form 7 PayPal插件未授权支付绕过

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2025-9189: Contact Form 7 PayPal插件未授权支付绕过

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！