CVE-2025-14463 in Payment Button for PayPal Pluginالمعلومات

الملخص

بحسب VulDB • 03/06/2026

يحتوي مكون WordPress الإضافي "Payment Button for PayPal" على ثغرة تسمح بإنشاء طلبات غير مصرح بها في جميع الإصدارات حتى 1.2.3.41 شاملاً. ويعود ذلك إلى تعرض المكون الإضافي لنقطة نهاية AJAX عامة (`wppaypalcheckout_ajax_process_order`) تقوم بمعالجة نتائج الدفع دون أي مصادقة أو تحقق من جانب الخادم على معاملة PayPal. وهذا يتيح للمهاجمين غير المصرح لهم إنشاء طلبات عشوائية على الموقع باستخدام معرف المعاملة، وحالة الدفع، واسم المنتج، والمبلغ، ومعلومات العميل المختارة بشكل حر عبر طلبات POST المباشرة إلى نقطة نهاية AJAX، شريطة أن يتمكنوا من تجاوز التحقق الأساسي من صحة المعلمة. وإذا كان إرسال البريد الإلكتروني ممكناً، فسيؤدي المكون الإضافي أيضاً إلى تشغيل رسائل بريد إلكتروني لإيصالات الشراء وإرسالها إلى أي عنوان بريدي يتم توفيره في الطلب، مما يؤدي إلى تلف قاعدة بيانات الطلبات وإرسال بريد خارجي غير مصرح به دون حدوث معاملة PayPal حقيقية.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

إفشاء

17/01/2026

الاعتدال

تمت الموافقة

إدخال

VDB-341581

CPE

جاهز

CWE

CWE-862 (مؤكد)

CVSS

5.3 (CNA)

EPSS

0.00393

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2025-14463
NVD	https://nvd.nist.gov/vuln/detail/CVE-2025-14463
CVE Details	https://www.cvedetails.com/cve/CVE-2025-14463/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!