The Appmax plugin for WordPress is vulnerable to Improper Input Validation in all versions up to, and including, 1.0.3. This is due to the plugin registering a public REST API webhook endpoint at /webhook-system without implementing webhook signature validation, secret verification, or any mechanism to authenticate that incoming webhook requests genuinely originate from the legitimate Appmax payment service. The plugin directly processes untrusted attacker-controlled input from the 'event' and 'data' parameters without verifying the webhook's authenticity. This makes it possible for unauthenticated attackers to craft malicious webhook payloads that can modify the status of existing WooCommerce orders (e.g., changing them to processing, refunded, cancelled, or pending), create entirely new WooCommerce orders with arbitrary data, create new WooCommerce products with attacker-controlled names/descriptions/prices, and write arbitrary values to order post metadata by spoofing legitimate webhook events.
The Appmax WordPress plugin versions up to 1.0.3 contain an unauthenticated REST API webhook endpoint that lacks signature validation and secret verification. Attackers can craft malicious webhook payloads to modify WooCommerce orders, create fraudulent orders and products, and potentially compromise e-commerce operations.
تفتقر إضافة Appmax للتحقق من صحة المدخلات في نقطة نهاية webhook العامة، مما يسمح للمهاجمين بدون مصادقة بتعديل حالة الطلبات وإنشاء طلبات احتيالية. يمكن للمهاجمين استغلال هذه الثغرة لإنشاء منتجات وطلبات WooCommerce بيانات تعسفية دون التحقق من أصل الطلب.
تحتوي إضافة Appmax لـ WordPress على نقطة نهاية webhook في REST API بدون مصادقة وتفتقر إلى التحقق من التوقيع. يمكن للمهاجمين إنشاء حمولات webhook ضارة لتعديل طلبات WooCommerce وإنشاء طلبات احتيالية.
Update the Appmax plugin to version 1.0.4 or later immediately. Implement webhook signature validation using HMAC-SHA256 or similar cryptographic verification. Add secret key verification for all incoming webhook requests. Restrict webhook endpoint access to known Appmax IP addresses. Implement rate limiting on the webhook endpoint. Disable the plugin if immediate patching is not possible.
قم بتحديث إضافة Appmax إلى الإصدار 1.0.4 أو أحدث فوراً. قم بتنفيذ التحقق من توقيع webhook باستخدام HMAC-SHA256. أضف التحقق من مفتاح سري لجميع طلبات webhook الواردة. قيد الوصول إلى نقطة نهاية webhook لعناوين IP المعروفة من Appmax. قم بتطبيق تحديد معدل على نقطة النهاية. عطل الإضافة إذا لم يكن التصحيح الفوري ممكناً.