Plataforma
wordpress
Componente
download-monitor
Corrigido em
5.1.8
CVE-2026-3124 é uma vulnerabilidade de Insecure Direct Object Reference (IDOR) no plugin Download Monitor para WordPress. A falha permite que atacantes não autenticados completem pedidos pendentes arbitrários, explorando uma falha na validação da função executePayment(). Isso possibilita o roubo de bens digitais pagos. Afeta versões ≤5.1.7. A vulnerabilidade foi corrigida na versão 5.1.8.
A vulnerabilidade CVE-2026-3124 no plugin Download Monitor para WordPress permite que atacantes não autenticados completem ordens pendentes arbitrárias, resultando no roubo de produtos digitais pagos. O ataque explora uma falha de Referência Direta Insegura (Insecure Direct Object Reference - IDOR) na função executePayment(). Um atacante pode iniciar um pedido de baixo custo e pagar uma pequena quantia através do PayPal. O token de transação do PayPal resultante pode então ser usado para finalizar um pedido de alto valor, efetivamente roubando o produto digital associado a este último. O cenário de ataque envolve a identificação de pedidos pendentes e a manipulação do token de transação para associá-lo a um pedido diferente do original. O risco principal é a perda financeira para os proprietários de sites que vendem produtos digitais, bem como a perda de reputação devido à violação da segurança. O raio de impacto é limitado aos sites que utilizam o plugin Download Monitor e que possuem sistemas de pagamento integrados, especialmente aqueles que utilizam PayPal. Um atacante com acesso à internet e conhecimento básico de como manipular tokens de transação pode explorar esta vulnerabilidade. A gravidade do impacto é alta, pois permite a obtenção não autorizada de bens digitais valiosos.
Atualmente, não há relatos públicos de exploração ativa da vulnerabilidade CVE-2026-3124. No entanto, a natureza da vulnerabilidade, uma IDOR, a torna potencialmente explorável. A ausência de um Proof of Concept (PoC) público não significa que a vulnerabilidade não possa ser explorada. A facilidade de entender a vulnerabilidade e a relativa simplicidade do ataque podem atrair a atenção de atacantes. Devido à sua natureza, a vulnerabilidade pode ser explorada rapidamente caso um PoC seja divulgado. A urgência de aplicação da correção é alta, especialmente para sites que vendem produtos digitais de alto valor. A falta de exploração pública até o momento não deve ser interpretada como uma ausência de risco.
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A correção para a vulnerabilidade CVE-2026-3124 é a atualização para a versão 5.1.8 ou superior do plugin Download Monitor. Esta versão inclui a validação necessária para prevenir a manipulação do token de transação. Se a atualização imediata não for possível, uma medida paliativa temporária seria desabilitar temporariamente a funcionalidade de pagamento do plugin até que a atualização possa ser aplicada. É crucial verificar a atualização após a instalação para garantir que a nova versão foi aplicada corretamente. Recomenda-se realizar um backup completo do site antes de aplicar qualquer atualização de plugin. Após a atualização, teste o processo de pagamento para garantir que a vulnerabilidade foi corrigida e que o sistema está funcionando conforme o esperado. A aplicação da correção deve ser priorizada para minimizar o risco de exploração.
Atualize para a versão 5.1.8, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-3124 is an Insecure Direct Object Reference (IDOR) vulnerability in the Download Monitor plugin for WordPress that allows unauthenticated attackers to complete arbitrary pending orders.
You are affected if you are using Download Monitor version 5.1.7 or earlier.
Update the Download Monitor plugin to version 5.1.8 or later to resolve this vulnerability.
There are currently no public exploitation reports or proof-of-concept code available.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-3124: https://nvd.nist.gov/vuln/detail/CVE-2026-3124
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.