The Charitable – Donation Plugin for WordPress – Fundraising with Recurring Donations & More plugin for WordPress is vulnerable to Insufficient Verification of Data Authenticity in versions up to, and including, 1.8.9.7. This is due to missing cryptographic verification of incoming Stripe webhook events. This makes it possible for unauthenticated attackers to forge payment_intent.succeeded webhook payloads and mark pending donations as completed without a real payment.
The Charitable Donation Plugin for WordPress fails to verify Stripe webhook authenticity, allowing attackers to forge payment confirmations. Unauthenticated attackers can mark donations as completed without actual payment processing.
تفتقر إضافة Charitable للتحقق من صحة أحداث webhook الواردة من Stripe، مما يسمح للمهاجمين بتزوير رسائل نجاح الدفع. يمكن للمهاجمين غير المصرح لهم تحديث حالة التبرعات إلى مكتملة دون معالجة دفع فعلية. هذا يؤثر على سلامة البيانات المالية والثقة في أنظمة التبرعات الخيرية.
The Charitable Donation Plugin for WordPress fails to verify Stripe webhook authenticity, allowing attackers to forge payment confirmations. Unauthenticated attackers can mark donations as completed without actual payment processing.
Update the Charitable plugin to version 1.8.9.8 or later immediately. Verify Stripe webhook signatures using Stripe's official verification methods. Implement additional server-side payment validation before marking donations as completed. Monitor webhook logs for suspicious activity.
قم بتحديث إضافة Charitable إلى الإصدار 1.8.9.8 أو أحدث فوراً. تحقق من توقيعات Stripe webhook باستخدام طرق التحقق الرسمية من Stripe. طبق التحقق الإضافي من الدفع على جانب الخادم قبل تحديد التبرعات كمكتملة. راقب سجلات webhook للنشاط المريب.