Download Monitor <= 5.1.7 - Onveilige directe objectreferentie naar niet-geauthenticeerde willekeurige orderafhandeling via 'token' en 'order_id'

De Download Monitor plugin voor WordPress is kwetsbaar voor Onveilige directe objectreferentie in alle versies tot en met 5.1.7 via de executePayment() functie vanwege ontbrekende validatie op een door de gebruiker beheerde sleutel. Dit maakt het mogelijk voor niet-geauthenticeerde aanvallers om willekeurige openstaande orders af te handelen door misbruik te maken van een mismatch tussen de PayPal transactie token en de lokale order, waardoor diefstal van betaalde digitale goederen mogelijk is door een minimaal bedrag te betalen voor een goedkoop item en die betalingstoken te gebruiken om een order met een hoge waarde af te ronden.