Plateforme
wordpress
Composant
charitable
Corrigé dans
1.8.10
Le plugin Charitable pour WordPress est vulnérable à une faille d'authentification insuffisante. Cette vulnérabilité est due à un manque de vérification cryptographique des événements webhook Stripe entrants, permettant à un attaquant de forger des payloads et de marquer des dons en attente comme complétés sans paiement réel.
La vulnérabilité CVE-2026-3177 affecte le plugin Charitable pour WordPress, utilisé pour la collecte de fonds et les dons récurrents. L'absence de vérification cryptographique adéquate des événements de webhook Stripe permet à des attaquants non authentifiés de falsifier des payloads payment_intent.succeeded. Cela pourrait entraîner le marquage incorrect de dons en attente comme terminés, même si aucun paiement réel n'a été effectué. L'impact principal est une perte financière pour les organisations caritatives, car des dons inexistants seront enregistrés, et une possible érosion de la confiance des donateurs si des incohérences sont détectées. La gravité du problème est évaluée à CVSS 5.3, indiquant un risque modéré. Il est crucial de mettre à jour le plugin vers la version 1.8.10 ou supérieure pour atténuer ce risque.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des payloads payment_intent.succeeded falsifiés à l'instance WordPress utilisant le plugin Charitable. Ces payloads, dépourvus de la vérification cryptographique adéquate, seraient acceptés par le plugin, marquant les dons comme terminés. L'attaquant n'a pas besoin d'un accès direct au serveur ou à la base de données ; il n'a seulement besoin d'être capable d'envoyer des requêtes HTTP vers l'endpoint de webhook configuré pour le plugin. La difficulté d'exploitation est relativement faible, car elle ne requiert pas de compétences techniques avancées ni d'outils complexes. La probabilité d'exploitation dépend de la popularité du plugin et du manque de connaissance des administrateurs du site web concernant cette vulnérabilité.
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La solution à CVE-2026-3177 est simple : mettre à jour le plugin Charitable pour WordPress vers la version 1.8.10 ou ultérieure. Cette mise à jour implémente la vérification cryptographique nécessaire pour valider l'authenticité des webhooks Stripe. De plus, examinez les enregistrements de dons récents pour identifier toute transaction suspecte qui pourrait avoir été créée à la suite de cette vulnérabilité. La mise en œuvre d'audits réguliers des transactions financières et la surveillance des alertes de sécurité WordPress sont de bonnes pratiques pour prévenir les incidents futurs. Assurez-vous d'effectuer une sauvegarde complète de votre site web avant d'appliquer toute mise à jour.
Mettez à jour vers la version 1.8.10, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un webhook est un moyen de recevoir des notifications en temps réel lorsque des événements se produisent dans une autre application, dans ce cas, Stripe. Il permet à Charitable de savoir quand un paiement a été effectué.
La vérification cryptographique garantit que les webhooks proviennent de Stripe et n'ont pas été altérés par un attaquant. Sans elle, un attaquant peut envoyer de fausses données et tromper le plugin.
Examinez attentivement les enregistrements de dons récents à la recherche de transactions suspectes. Si vous en trouvez, contactez votre banque et Stripe pour mener une enquête plus approfondie.
Il n'existe pas d'outils spécifiques pour détecter ce type d'attaque, mais la surveillance des journaux de dons et la recherche de schémas inhabituels peuvent aider.
Maintenez WordPress, les plugins et les thèmes à jour. Utilisez des mots de passe forts et l'authentification à deux facteurs. Effectuez des sauvegardes régulières de votre site web.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.